Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Какие действия можно производить с персональными данными

Какие действия можно производить с персональными данными

Какие действия можно производить с персональными данными

Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать

21 маяВ России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту.

Основные требования общие для всех:

  1. Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
  2. Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
  3. Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
  4. Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки, то .

Если вы храните не просто ФИО, а важные данные, например фтографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений.

Подробнее об этом можно почитать в нашей статье «» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.Если вы храните данные в облаке от , часть требований выполняем мы. Например, защищаем серверы или собираем информацию о событиях безопасности.

Еще мы поможем построить систему защиты данных по требованиям ФСТЭК и аттестовать ваше ПО по требованиям закона.Ответственность за нарушение закона о персональных данных зависит от вида нарушения.

Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

  1. Физлицо — на 700–2000 рублей.
  2. Должностное лицо — на 4 000–10 000 рублей.
  3. Юрлицо — на 25 000–50 000 рублей.
  4. ИП — на 10 000–20 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.Согласие на обработку персональных данных.

Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет.

В документе нужно прописать, какие именно данные и с какими целями вы собираете.Если собираете данные только через интернет, этот документ не нужен.

Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.Положение об обработке и защите персональных данных.

Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет.

Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на

«Положение об обработке и защите персональных данных»

.Ссылку на политику нужно добавить в пользовательское соглашение.

А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом:

«Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности»

.Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных.

Его — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на .Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен.

Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным.

Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.Инструкция пользователя системы персональных данных.

В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании.

Или заказать пакет у юристов, чтобы все формулировки точно были правильными.Можно получить сразу два штрафа:

  1. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
  2. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение.

Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.Если вы собираете персональные данные сотрудников, уведомлять никого не нужно.
Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.Если вы собираете персональные данные сотрудников, уведомлять никого не нужно.

А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.Отправить уведомление можно онлайн, на сайте Роскомнадзора.Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  1. 100–500 рублей для физлиц
  2. 300–500 рублей для должностных лиц.
  3. 3 000—5 000 рублей для юрлиц.

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.Получить согласие можно двумя способами:

  1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

За это нарушение положен большой штраф:

  1. 10 000–20 000 рублей для должностных лиц и ИП.
  2. 3 000–5 000 рублей для физлиц.
  3. 15 000–75 000 рублей для юрлиц.
  1. Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.
  2. Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
  3. Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
  4. Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
  5. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.

Автор: Елена ШпрингерИсточник: Читать по теме:

Организация комплексных мер защиты персональных данных работников на предприятии: законодательное регулирование

› › › Персональные данные человека находятся под серьезной защитой со стороны государства — ряд нормативных документов регламентируют строгий порядок обработки личной информации, а также меры ответственности за различные в этой сфере.

Тем самым на законодательном уровне предусмотрен целый комплекс мер, направленных на защиту от посягательства на личную информацию граждан и неправомерного ее использования.

СодержаниеДорогие читатели! Для решения именно Вашей проблемы — звоните на горячую линию или задайте вопрос на сайте.

Это бесплатно. Защита персональных данных граждан — это процесс, включающий в себя ряд технических и организационных мероприятий, направленных на реализацию всех законодательных требований и предписаний в сфере сбора, использования, передачи и хранения личных сведений, по которым происходит идентификация персоны. Обязанность по обеспечению всех мер возлагается на оператора персональных данных — организацию, которая занимается сбором, накоплением, использованием и хранением всей добровольно предоставленной физическими лицами информацией. На практике защита личных сведений подразумевает организацию на предприятии регламента обработки персональной информации:

  1. организацию системы защитных мер от неправомерного использования с применением технических средств;
  2. внутренний контроль выполнения всех мер защиты в соответствии законодательным предписаниям.
  3. разработку специальных внутренних документов для обработки персональных данных;

На реализацию контроля порядка обработки личных сведений операторами уполномочены такие органы, как Роскомнадзор, Федеральная служба безопасности (ФСБ), а также ведомство в вопросах технического и экспортного контроля (ФСТЭК).

Согласно законодательным нормам, под конфиденциальностью персональных данных следует понимать обеспечение оператором, которому вверяется обработка личной информации, требования неразглашения персональных данных без подтвержденного разрешения самого субъекта такой информации в виде письменного согласия на ее . В соответствии с Законом “О персональных данных” граждан, а также положениями Трудового кодекса РФ, персональными данными являются сведения, которые относятся к определенному физическому лицу и используются в трудовых отношениях с организацией-работодателем.

В данную категорию информации входят ФИО, дата и место рождения, адрес проживания и регистрации, образование и специальность, семейное положение, доходы, особенности здоровья и прочие сведения, потенциально фигурирующие в контексте реализации профессиональной деятельности. Компания-работодатель, выступающая оператором персональных данных, осуществляет сбор, накопление, систематизацию, передачу и хранение информации согласно нормам законодательства, а также использование полученных сведений исключительно в целях, связанных с реализацией договора и утвержденных в локальных документах на предприятии, регулирующих порядок информационного взаимодействия. Передачей персональных данных третьим лицам является распространение оператором сведений стороне, которая не является участником трудовых правоотношений с субъектом персональных данных (или же — имеет косвенное отношение к субъекту).

Разглашение такой информации без письменного субъекта — действие незаконное и подразумевает меры дисциплинарной и административной ответственности.
Чтобы передавать личные сведения стороннему лицу на законных основаниях, оператору необходимо:

  1. удостовериться в присутствии третьего лица в перечне операторов персональных данных, что гарантирует соблюдение им порядка в обработке такой информации.
  2. иметь официальное разрешение субъекта персональных данных на обработку его личной информации третьим лицом в рамках реализации договорных отношений;

Подавать запрос на предоставления персональных данных граждан без их письменного согласия могут ряд инстанций в соответствии с регламентированными целями такого сбора:

  1. прокуратура и правоохранительные органы;
  2. профсоюзы и государственные инспекторы, контролирующие соблюдение мер ;
  3. третьи лица при наличии потенциальных угроз жизни и здоровью работника;
  4. медучреждения при тяжелых несчастных случаях или работника.
  5. и военкоматы;

Основным документом-регулятором большинства вопросов, связанных с защитой персональных данных является Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июля 2006 года), где изложены основные термины, принципы, правила и регламент обработки личной информации.

Основные положения Закона сводятся к следующим позициям:

  1. соответствие информационных систем законодательным стандартам в сфере использования персональных данных;
  2. право субъекта персональных данных на личных прав и интересов в уполномоченных инстанциях, а также в суде.
  3. строгое соответствие сбора и использования личной информации утвержденным оператором целям на основании согласия об обработке, предварительно полученного от гражданина;
  4. разглашения личных сведений сторонним лицам без письменного разрешения субъекта (за исключением законодательных требований);

Помимо Закона “О персональных данных”, законодательную базу в вопросах защиты личной информации работников на предприятии составляет Глава 14 Трудового кодекса РФ.

В Статьях 85-90 ТК РФ изложены требования обработки персональных данных, порядок их использования, хранения и передачи, регламентированы права сотрудников на защиту сведений о себе. Меры дисциплинарной, административной и даже уголовной за нарушение регламента обработки персональной информации, а также другие незаконные действия, повлекшие разглашение личных данных третьим лицам, декларируют Статья 90 ТК РФ, Статья 13.11 КоАП, а также Статья 137 УК РФ.
Меры дисциплинарной, административной и даже уголовной за нарушение регламента обработки персональной информации, а также другие незаконные действия, повлекшие разглашение личных данных третьим лицам, декларируют Статья 90 ТК РФ, Статья 13.11 КоАП, а также Статья 137 УК РФ. Обработка персональной информации работников на предприятии должна осуществляться по ряду обязательных к выполнению правил:

  • Ознакомление работников с Положением о защите личных сведений.
  • Подписание согласия на обработку персональных данных.
  • Использование и хранение информации в соответствии с целями, прописанными в локальных документах на предприятии.
  • Подготовка и создание пакета , регулирующих порядок обработки, главными в котором являются Положение о защите личных сведений работников, согласие на обработку персональных данных, а также обязательство уполномоченного на работу с данными лица исключить возможность их несанкционированного разглашения.
  • Обезличивание и уничтожение данных по достижению целей их обработки или по окончании срока действия .

В рамках организации комплексной защиты личных сведений на предприятии оператор персональных данных должен обеспечить выполнение следующих задач:

  • Ограничить возможность доступа персонала к локации, где установлены технические средства обработки информации, в том числе и ее носители.
  • Создать разрешительную систему доступа уполномоченных на с данными сотрудников.
  • Организовать физическую защиту локации хранилища всех баз данных, а также технических средств обработки личной информации.
  • Организовать процедуру регистрации всех действий персонала для предотвращения каких-либо несанкционированных акций.
  • Организовать систему учета, накопления и хранения технических носителей информации, включающую в себя процедуру резервного копирования всех технических средств.
  • Использовать соответствующие инструменты защиты массивов данных, включая защищенные каналы связи с целью недопущения вторжения в систему вредоносного ПО или прочих .

Таким образом, организация защиты информационных баз данных, которую обязан провести оператор персональных данных включает в себя комплекс специальных мероприятий, направленных на целевое использование, корректную обработку и хранение, а также максимальную безопасность всех персональных данных физических лиц.

Строгое соответствие нормативным положениям о порядке обработки личной информации — обязательное требование к работе оператора данных, а также ко всем причастным к процессу уполномоченным на предприятии лицам. Не нашли ответа на свой вопрос?

Звоните на телефон горячей линии. Это бесплатно. Рейтинг автора97

Автор статьиЮристНаписано статей296

(Пока оценок нет)

Загрузка.

Отлично 0 Похожие вопросы

1 124

1 493

1 704

1 436 Добавить комментарий четыре − = два Популярное 1 704 1 584 1 493 Обновления на сайте

312

297

266

196 Показать еще Pravo.Team Ваша персональная команда © 2018–2021 – Юридический журнал Перепечатка материалов разрешена только с указанием первоисточника Форум: Задать вопрос эксперту Спасибо! В ближайшее время мы опубликуем информацию.

Персональные данные сотрудника: как с ними работать

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

20 августа Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия. Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ () и (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что

«сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»

. Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. Вопросам защиты персональных данных работника посвящена .

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека. В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции.

К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции. Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.

Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия?
Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании?

Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы.

Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор. Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов.

Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д. В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу. Но есть и исключения, когда такое согласие не требуется:

  1. при самостоятельном размещении резюме в интернете.
  2. если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Можно воспользоваться . Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям . Это значит, что:

  1. в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  2. в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
  3. в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  4. анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле. В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет. На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя. Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу.

На этом этапе, согласно , запрашиваются:

  1. трудовая книжка;
  2. паспорт или иной документ, удостоверяющий личность;
  3. документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  4. при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется.

Когда он подписывает трудовой договор, то тем самым уже дает свое согласие. Многие организации при приеме на работу оформляют работникам зарплатную карту.

В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие?

Да, нужно. При этом важно, чтобы:

  1. перечень персональных данных строго соответствовал тому, что передается в банк;
  2. была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
  1. соответствующая форма и система оплаты труда прописана в коллективном договоре ().
  2. договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  3. у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке. В прошлом году была установлена ответственность за «зарплатное рабство».

Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

В этом случае нужно обязательно внести изменения в трудовой договор.

Главное — сделать это правильно. Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей. Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в .

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя. Роскомнадзор в своих рекомендациях формулирует следующие требования:

  • Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно .
  • Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  • Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.

Противоположная ситуация — это поощрение работника в виде доски почета.

Но и здесь есть свои тонкости. Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием. В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  1. если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со .
  2. компания самостоятельно осуществляет пропускной режим;

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно. Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные . Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет.

Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется. Загрузить ещё

Как закон защищает персональные данные россиян?

И какие права есть у каждого гражданина?

22.07.2020, Закон «О защите персональных данных» действует в России уже 14 лет. Он был нужен – ситуация складывается так, что все чаще конфиденциальная информация становится общедоступной.

А в последние годы это стало еще актуальнее – регулярно происходят серьезные утечки с крупных ресурсов: фото, пароли, адреса. Так как злоумышленники только и ждут удобного случая нажиться на чужой беде, разберемся, как защитить себя и наказать виновных в утечке информации.

Содержание статьи Согласно Федеральному закону 152-ФЗ от 27 июля 2006 года «О защите персональных данных» вся информация, получаемая работодателями, учреждениями, компаниями, соцсетями, продавцами от сотрудников и клиентов подлежит тщательному хранению. За передачу ПД третьим лицам предусмотрена административная и, в редких случаях, уголовная ответственность. При этом для получения любой частной информации должен быть назначен уполномоченный человек, который будет заниматься обработкой полученных данных и обеспечит их сохранность.

Собирать персональные данные можно только с согласия от опрашиваемого человека.

При этом устного разрешения зачастую будет недостаточно – лучше потратить время и подписать небольшое соглашение или предусмотреть поле с требованием поставить галочку (если это интернет-ресурс) о согласии на обработку переданных ПД, чем в дальнейшем доказывать свою правоту. Что же касается предмета закона, то под понятием персональных данных стоит понимать информацию, которая относится к конкретному человеку и помогает определять его личность.Последние серьезные изменения были приняты в июле 2017, по которым усилились требования к хранению персональных данных и ужесточилась ответственность за несоблюдение установленных правил. Закон важен для каждого. Все мы, так или иначе, передаем информацию о себе разным учреждениям и организациям, а потом надеемся, что ее не передадут посторонним.

Например, банки запрашивают наши паспортные данные и сведения о доходах, продавцы в интернет-магазинах получают номера телефонов, электронную почту и личные данные с днем и местом рождения. А в соцсетях вообще выставляется вся своя жизнь. Поэтому самая главная цель закона – обеспечение защиты интересов и прав обычных людей.

В свою очередь, нормы закона должны знать и четко исполнять все владельцы сайтов, которые имеют на своей странице:

  1. сбор личной информации или биометрических данных.
  2. возможность зарегистрировать и использовать личный кабинет;
  3. анкеты с личными данными;
  4. форма для оформления рассылки, заказа или обратной связи;

В этих случаях ресурс оперирует персональными данными – а потому должен обеспечивать их сохранность. Российское законодательство определяет как минимум 6 основных категорий персональных данных:

  • Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
  • Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
  • фотография;
  • отпечаток пальца или сетчатка глаза;
  • Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
  • зубная карта;
  • другая генетическая информация.
  • Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
  • Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
    • фотография;
    • отпечаток пальца или сетчатка глаза;
    • зубная карта;
    • группа крови;
    • запись образца голоса;
    • другая генетическая информация.

    При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

  • группа крови;
  • запись образца голоса;
  • Иные или дополнительные данные.

    Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности.

    В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

Ответственность за защиту данных несет оператор персональных данных.

Это может быть любая компания, которая занимается сбором, хранением или обработкой информации. Компания назначает ответственное лицо – ему передаются полномочия по работе с ПД конкретной категории (клиенты, сотрудники, партнеры и др.). В случае утечки информации в первую очередь виновным будет тот, кто отвечал за данные по конкретной категории.Если это электронный ресурс, тогда вся ответственность возлагается на собственника сайта – вне зависимости от того, зарегистрирован ли он как оператор ПД.

Если сайт собирает какую-либо информацию, значит по факту собственник уже является оператором.

Если же на сайте нет информации о собственнике ресурса, вся ответственность за распространение информации ложится на администратора домена этого сайта. Способов множество, но важно, какой именно объем информации распространялся без ведома субъекта и какой ущерб это ему причинило. Максимальная известная компенсация за утерю персональных данных – 14 миллионов рублей, это было в 2018 году.

Для обеспечения максимальной безопасности все российские компании обязаны хранить информацию на российских серверах. А за неправильное использование данных будут штрафовать:

  • У компании нет четко разработанной политики работы с персональными данными – штраф от 3 до 6 тыс. для сотрудников, и от 15 до 30 тыс. для компаний.
  • Отказ от удаления данных по требованию субъекта – от 4 до 10 тыс. и от 25 до 45 тыс. соответственно.
  • Информация раскрылась из-за халатности работника – штраф от 4 до 10 тыс. и от 25 до 50 тыс. соответственно.
  • При разглашении ПД путем передачи информации о размере зарплаты, передача данных о клиенте в другую фирму: от 10 до 20 тыс. и от 15 до 75 тыс. соответственно.
  • От 5 до 10 тыс. для сотрудников и от 30 до 50 тыс. для организации – если ведется неправильный или излишний сбор информации без последующей чистки ненужного.

Помимо штрафов, сотрудника компании могут уволить. А в некоторых особо критичных ситуациях могут быть применены меры уголовного наказания: условные сроки и даже реальное заключение.

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной. Важен именно процесс использования полученных данных.

При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет.

Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности. Да, есть строго установленные категории с точным списком данных, которые относят к персональным.

Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных. Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Самые простые правила для операторов ПД состоят в том, чтобы четко следовать должностным инструкциям, а именно:

  1. при первом требовании удалять ранее полученную информацию;
  2. держать в открытом доступе информацию о системе обработки персональных данных вашим ресурсом и ее надежности;
  3. использовать современные системы безопасности для предупреждения утечки.
  4. своевременно удалять устаревшую информацию;
  5. честно рассказывать о том, как будет применяться информация;
  6. собирать только действительно нужные данные;
  7. соблюдать все нормы и правила сохранности и достоверности полученной информации;
  8. получать информацию только по согласию другой стороны;
  9. оповещать, что ведется сбор информации;
  10. применять полученную информацию только в заранее оговоренных целях;

Конечно! Именно это и является главным нарушением при использовании чужих персональных данных.

Если организация нашла в свободном доступе номер (на столбе, в рекламе, в личной переписке, со слов другого клиента) это еще не дает ей право свободно им распоряжаться.

Если номер был указан в объявлении, то использовать его могут только лица, звонящие по конкретному объявлению в личных целях. Если же страховая компания предлагает оформить страховой полис, получив номер из объявления, то эти действия незаконны. Человек не давал компании права на обработку его личных данных, а тем более права предлагать ему свои услуги без получения на это соответствующего согласия.

Конечно, если следовать определенным правилам:

  • Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  • Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  • Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  • Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.
  • Не раздавать свою конфиденциальную информацию посторонним.
  • При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+