Доступ к информации о персональных данных

Персональные данные как информация ограниченного доступа по российскому законодательству

С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» персональные данные сразу же были отнесены к разряду конфиденциальной информации, т.е. информации ограниченного доступа . Принятый впоследствии Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон «Об информации, информационных технологиях и о защите информации» аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон «О персональных данных» (далее — Закон), что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением «персональных данных» содержит определение «общедоступных персональных данных» — термин, который невозможно логически соотнести с информацией ограниченного доступа.

Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 г. N 24-ФЗ // Российская газета. 2003. 7 июля.
Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера» // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru/.
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. 2006. 27 июля.

Федеральный закон от 22 октября 2004 г. N 125-ФЗ «Об архивном деле в РФ» (в ред. Федерального закона от 04.12.2006 N 202-ФЗ) // Справочная правовая система «Гарант» по состоянию на 1 сентября 2008 г. URL: http://www.garant.ru/.
Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» // Правовая система «Гарант» по состоянию на 1 мая 2008 г. URL: http://www.garant.ru/.

Отдельно стоит рассмотреть проблему охраны конфиденциальности персональных данных в рамках трудовых отношений. По аналогии с другими видами конфиденциальной информации такие положения необходимо включать в трудовые договоры с работниками, имеющими доступ к конфиденциальным персональным данным. То же касается предупреждения работников о возможной ответственности за передачу, распространение персональных данных, обязанность работников при увольнении передать все носители и другие материальные объекты, содержащие персональные данные, работодателю, обязанность работника сохранять конфиденциальность персональных данных, ставших ему известными при исполнении трудовой функции, после расторжения трудового договора и т.д. К сожалению, Закон не содержит ни одного из указанных положений, и более того, в принципе не выделяет работника, т.е. физическое лицо, которое непосредственно при исполнении своих трудовых обязанностей осуществляет эксплуатацию информационной системы, базы/банка персональных данных и имеет к ним прямой доступ.

Аналогичная ситуация сложилась в вопросе доступа к информационным системам базам/банкам персональных данных третьих лиц на основании гражданско-правовых договоров, в частности договоров, о технической поддержке, направленных на обеспечение бесперебойного функционирования информационных систем, баз/банков персональных данных, и других подобных случаях.

Учет данных рекомендаций позволил бы разрешить множество вопросов, связанных с привлечением к юридической ответственности виновных лиц и в большей степени ее дифференцировать. Поскольку, по аналогии с другими видами конфиденциальной информации, чаще всего субъектом ответственности является специальный субъект, т.е. лицо имеющее допуск/доступ к ней на законном основании и принявшее в добровольном порядке на себя обязательства по сохранению конфиденциальности.

Федеральный закон от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» // Российская газета. 2001. 9 августа.

Часть из указанных проблем в определении содержания правового режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Некоторые российские авторы, например В.Н. Лопатин, в этой связи прямо указывают на персональные данные как на институт охраны права на частную жизнь . Такое положение дел объясняет необходимость особого подхода к персональным данным при их обработке независимо от существования режима ограничения доступа к ним, поскольку их использование не должно нарушать общих фундаментальных прав индивида, таких, как право на частную жизнь, личную и семейную тайну.

Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. СПб.: Юридический центр «Пресс», 2005. С. 243.

Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется, в том числе на основании последовательного анализа положений Закона, можно отнести к числу «производных» тайн или категорий информации ограниченного доступа. Это в свою очередь требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае.

Статья Е.К. Волчинской «Коммерческая тайна в системе конфиденциальной информации» включена в информационный банк согласно публикации — «Информационное право», 2005, N 3.

О классификации конфиденциальной информации на «первичные» и «производные» тайны см.: Волчинская Е.К. Коммерческая тайна в системе конфиденциальной информации // URL: http://www.infolaw.ru/lib/2005-3-com-secret-in-confidential-information.

См.: Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Юридический центр Пресс, 2005. С. 220; Головкин Р.Б. Правовое и моральное регулирование частной жизни в современной России: Дис. д-ра юрид. наук: 12.00.01. Н. Новгород, 2005. С. 117; Баранов В.М. Категория «частная жизнь» // Право граждан на информацию и защита неприкосновенности частной жизни. Н. Новгород, 1999. С. 34 — 37.

В заключение выразим общее суждение о некотором несовершенстве российского Закона в части определения персональных данных в качестве информации ограниченного доступа или конфиденциальной, что было отмечено уже и другими авторами, в частности Н.И. Петрыкиной . В качестве возможных путей совершенствования положений законодательства авторам видится целесообразным сформулировать следующие предложения и выводы:

Статья Н.И. Петрыкиной «К вопросу о конфиденциальности персональных данных» включена в информационный банк согласно публикации — «Законы России: опыт, анализ, практика», 2007, N 6.

Петрыкина Н.И. К вопросу о конфиденциальности персональных данных // Правовая система «Гарант» по состоянию на 1 мая 2008 г. URL: http://www.garant.ru/.

Во-первых, стоит ввести в законодательную материю понятие «конфиденциальные персональные данные», т.е. персональные данные, на которые в соответствии Законом о персональных данных распространяется специальный правовой режим ограничения доступа к ним — режим конфиденциальности персональных данных.

Во-вторых, следует выделить в Законе о персональных данных основные организационные меры по установлению режима конфиденциальности персональных данных. К таковым мерам следует отнести: установление оператором перечня конфиденциальных персональных данных, обработку которых он осуществляет, определить круг субъектов, которые будут иметь доступ к ним, установить правила использования соответствующих реквизитов на материальных носителях, содержащих конфиденциальные персональные данные.

В-третьих, указать в Законе о персональных данных в качестве субъектов отношений по охране конфиденциальности персональных данных «обладателя» информационной системы, базы/банка персональных данных, и непосредственно «оператора» информационной системы, базы/банка персональных данных, т.е. лицо, которое на основании трудового или гражданско-правового договора осуществляет эксплуатацию, обслуживание такой информационной системы и имеет доступ к персональным данным. Определить особенности их правового статуса и ответственности.

Источник: http://wiselawyer.ru/poleznoe/40194-personalnye-dannye-informaciya-ogranichennogo-dostupa-rossijskomu-zakonodatelstvu

Как соблюсти требования 152-ФЗ, защитить персональные данные своих клиентов и не наступить на наши грабли

По российским законам любая компания, работающая с личными данными своих пользователей в России, становится оператором ПДн, хочет она того или нет. Это накладывает на нее ряд формальных и процедурных обязательств, которые не каждый бизнес может или хочет нести самостоятельно.

Как показывает практика – совершенно правильно не хочет, потому что эта область знаний еще настолько новая и не обкатанная на практике, что сложности и вопросы возникают даже у профессионалов. Сегодня мы расскажем о том, как реализовывали проект под хранение персональных данных для нашего заказчика и с какими неочевидными сложностями столкнулись.

Как мы помогали защитить данные по 152-ФЗ

В начале 2019 года к нам обратилась компания ООО «Смарт-Сервис», разработчик платформы для управления сервисным обслуживанием HubEx и приложения для обмена контактами myQRcards.

Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин. Второе – онлайн-конструктор для создания электронных визитных карточек на базе QR-кодов.

Обе системы хранят и обрабатывают данные пользователей, подпадающие под классификацию «персональных» в соответствии с 152-ФЗ. В этом случае закон диктует ряд ограничений к системам хранения таких персональных данных для того, чтобы обеспечить требуемый уровень их защищенности и исключить риск несанкционированного доступа с целью хищения или неправомерного использования.

Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

КАК УСТРОЕНО ЗАЩИЩЕННОЕ ОБЛАКО

Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:

• доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
• серверы хранения и обработки данных должны находиться под постоянным мониторингом антивирусной защитой на отсутствие уязвимостей;
• СХД должен быть расположен в изолированных сетях.

Мы размещаем серверные мощности заказчика в отдельных зонах, удовлетворяющих требованиям 152-ФЗ, и помогаем получить заключение о соответствии.

Архитектура защищенной виртуальной инфраструктуры для ООО «Смарт Сервис».

Ход работ

Первично согласование работ было произведено в июне 2019 года, что можно считать датой начала проекта. Все работы должны быть производиться на «живом» окружении с тысячами запросов в день. Естественно, требовалось выполнить проект, не прерывая штатный режим работы обеих систем.

Поэтому был составлен и согласован четкий план действий, разделенный на 4 этапа:

• подготовка,
• миграция,
• тестирование и проверка в реальных условиях,
• включение систем мониторинга и ограничения доступа.

На всякий случай мы предусмотрели процедуру восстановления в случае непредвиденной ситуации (DRP). По первоначальному плану работы не занимали много времени и ресурсов и должны были завершиться в июле 2019. Каждый из этапов предусматривал в конце полное тестирование сетевой доступности и функциональности систем.

Самым сложным этапом, в котором могло «что-то пойти не так», была миграция. Изначально мы планировали проводить миграцию путем переноса виртуальных машин целиком. Это был самый логичный вариант, поскольку он не требовал вовлечения дополнительных ресурсов для переконфигурирования. Казалось бы, что может быть проще vMotion.

Нежданно-негаданно

Однако, как обычно бывает на проектах в относительно новой области, случилось то, чего не ждали.

Поскольку каждая виртуальная машина занимает 500 — 1 000 ГБ, копирование таких объемов даже в рамках одного дата-центра заняло около 3-4 часов на каждую машину. Как итог, мы не уложились в отведенное временное окно. Это произошло по причине физических ограничений дисковой подсистемы при переносе данных в vCloud.

Баг используемой версии vCloud не позволил организовать Storage vMotion в отношении виртуальной машины с разными типами дисков, поэтому диски пришлось менять. В результате перенести виртуальные машины получилось, но это заняло больше времени, чем планировалось.

Второй момент, который мы не предусмотрели, — ограничения по перемещению кластера БД (Failover Cluster MS SQLServer). В результате пришлось перевести кластер в работу с одним узлом и оставить его за рамками защищенной зоны.

Примечательно: по до сих пор непонятной причине в результате переноса виртуальных машин рассыпался кластер приложений, и его пришлось собирать заново.

В результате первой попытки мы получили неудовлетворительное состояние систем и вынуждены были заново браться за планирование и проработку вариантов.

Попытка №2

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

Результативный исход и полезный урок

В сухом остатке комплекс работ по проекту выглядел так:

1. Организована выделенная подсеть;
2. Суммарно мигрировано два кластера, состоящих из пяти виртуальных машин: Failover кластер баз данных (две виртуальные машины), Service Fabric кластер приложений (три виртуальные машины);
3. Произведены настройки систем защиты и шифрования данных.

Выглядит вроде бы все понятно и логично. На практике же все оказывается немного сложнее. Мы еще раз убедились, что при работе с каждой отдельной задачей такого плана требуется высочайший уровень внимания к «мелочам», которые на поверку оказываются никакими не мелочами, а определяющими факторами успеха всего проекта.

Источник: http://habr.com/post/480086/

Доступ к информации о персональных данных

Рекомендации по составлению политики обработки персональных данных (DOCX, 33.94 Kb)

Оцените содержание раздела:

Низкое Ниже среднего Среднее Выше среднего Высокое Оценить

Время публикации: 27.07.2017 17:14
Последнее изменение: 01.08.2017 13:05

© 2009-2020, Версия 2.15.18

Официальный сайт Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций

Источник: http://rkn.gov.ru/personal-data/p908/

Защита персональных данных: какие сведения не вправе разглашать бухгалтер

Автор: электронный журнал «Зарплата»

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

Круг сведений о заработной плате

Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

— они стали известны работнику в связи с исполнением им трудовых обязанностей;

— уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

Источник: http://www.audit-it.ru/articles/personnel/a110/822837.html

Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним

При трудоустройстве и в процессе дальнейшей трудовой деятельности работник передает работодателю свои персональные данные. Информация эта требует защиты, доступ к ней должен быть ограниченным.

Соответственно выделяются узкий круг лиц, которые имеют право работать с конфиденциальной информацией для выполнения своих служебных обязанностей. Они назначаются специальным приказом.

Кем издается?

Приказ представляет собой правовой акт, который относится ко всему предприятию, определяет его деятельность и решает его основные задачи. Приказ издается единолично руководителем фирмы.

Содержание

В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.

Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.

Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.

Общие правила составления

1. Приказ оформляется на бланке формата А4.
2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.

В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных (а более детально о нюансах оформления приказа о назначении ответственного за обработку и другие действия с персональными данными читайте тут). Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.

Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.

Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.

Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.

Внизу документа ставят подписи те лица, к которым он относится.

Утверждение перечня личных сведений

Правовой акт включает в себя:

1. Наименование организации. Например, МОУ СОШ №7.
2. Название документа (ПРИКАЗ) и его номер.
3. Дату создания. Например, 5 октября 2016 г.
4. Место создания. Например, г. Пермь.
5. Отсылку к законодательной базе, на основании которой он создается.

Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.
Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.

Утвердить прилагаемый перечень данных МОУ СОШ №7.

Назначение ответственного за исполнение.

Например: Контроль за исполнением приказа оставляю за собой.
Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.

Установление списка лиц, имеющих доступ к такой информации

В правовом акте должно присутствовать:

Название организации (указывается сверху). Например, ООО «Родон».

Название документа (ПРИКАЗ), его номер.

Дата составления. Например, 4 августа 2017 г.

Место составления. Например, г . Москва.

Ссылка на законодательство, на основании которого он издается.

Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
Перечень работников, допущенных к сведениям, с указанием их должности.

Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:

1. Генеральный директор Г. Е. Чуриков.
2. Зам. генерального директора К. А. Голиков.
3. Начальник отдела кадров И. Н. Дирина.
4. Главный бухгалтер Е. Г. Листовская.

Указание лица, ответственного за исполнение.

Пример: Контроль за исполнением возложить на К. А. Голикова.

Подписи всех лиц, указанных в правовом акте, и подпись руководителя организации.

Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

Оформление готового документа

1. Документ предпочтительно напечатать на компьютере.
2. Оформление документа стандартное.
3. Сверху указывается организация, далее ставится дата создания, номер и название.
4. Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
5. Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
6. Если необходимо, к документу добавляется приложение.
7. Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.

Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/izdanie-prikaza/obrazets-p.html

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 14 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 14 . Право субъекта персональных данных на доступ к его персональным данным

ГАРАНТ:

См. комментарии к статье 14 настоящего Федерального закона

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Источник: http://base.garant.ru/12148567/888134b28b1397ffae87a0ab1e117954/

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Источник: http://vc.ru/legal/81210-10-oshibok-pri-rabote-s-personalnymi-dannymi-k-chemu-prideretsya-roskomnadzor