Юридические советы

Семейное право в деталях

Персональные данные: что это такое, как обрабатывать и защищать по закону

Опубликовано: 18 июня, 2023 Категория: Страхование Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: что это такое, как обрабатывать и защищать по закону». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. # Какие предприятия должны защищать персональные данные?
2. # Какова ответственность в случае нарушения требований по защите ПДн?
3. Персональные данные – использование на предприятии
4. Когда согласие не нужно
5. Меры, которые должен принять оператор при обработке сведений
6. Защита служебной тайны
7. Что такое персональные данные. Объясняем простыми словами
8. Понятие персональных данных
9. Запрет на обработку информации
10. Что является персональными данными по закону
11. Понятие персональных данных и правовое регулирование
12. Цель использования данных
13. Какие существуют требования по обеспечению защиты ИСПД?
14. В каких случаях необходимо проходить аттестацию и сертификацию?
15. Что относится к сведениям, которые не могут составлять коммерческую тайну предприятия

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

# Какие предприятия должны защищать персональные данные?

Определение Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн. Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность? Ответственность, за нарушение требований по защите ПДн Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

  • гражданскую ответственность;
  • уголовную ответственность;
  • административную ответственность;
  • дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

Читайте также:  Скидки на ж/д билеты студентам и школьникам в 2023 году

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если субъект:

  • участвует в договоре как выгодоприобретатель или поручитель;
  • привлекается в суд;
  • не может физически предоставить согласие в экстренных ситуациях, например, находится без сознания.

Не нужно получать согласие на обработку информации, которая не относится к ПД или не используется для коммерции. А именно:

  • сведения, собранные для личных нужд человека — списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
  • фото или видео с общественных мероприятий или полученные на платной основе;
  • ИНН без привязки к другой информации;
  • государственные номера транспортных средств.
  • данные для проведения научных исследований, творческой деятельности, если они не нарушают прав и интересов граждан;
  • информация для передачи только внутри компании.

Закон не дает исчерпывающего определения ПД — при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Защита служебной тайны

Очевидно, что служебная тайна нуждается в защите. Сформирован целый ряд механизмов, охраняющих служебную тайну от незаконного завладения ею третьими лицами, внесения в нее изменений, уничтожения.

Соглашение о неразглашении, отражение в трудовом договоре четко прописанных дополнительных условий и мер по сохранению служебной тайны, разработка отдельного ЛНА, касающегося служебной тайны – это правовые инструменты защиты конфиденциальной служебной информации. Кроме них могут предусматриваться еще технические средства защиты, в том числе и кодирование сведений.

Важную роль играет организация процесса сохранности служебной информации в коллективе: учет работников с особым доступом к таким сведениям, их обучение, особый порядок работы с деловыми бумагами и иными носителями информации, составляющими служебную тайну. Работник, допустивший утечку тайных служебных сведений, может быть уволен по ст. 81 ТК РФ п.6 (в).

КоАП РФ статьей 13.14 предусматривает штрафы за разглашение сведений с ограниченным доступом. В частности, если «утечка» произошла по вине должностного лица, штраф может составить от 4 до 5 тыс. рублей.

За разглашение служебной тайны может наступить и уголовная ответственность. Так, статьей 155 УК РФ предусмотрен штраф до 80 тыс. руб., арест до 4 месяцев за разглашение тайны усыновления, удочерения. При этом недобросовестный чиновник может быть лишен права занимать определенные должности на срок до 3 лет.

Что такое персональные данные. Объясняем простыми словами

Персональные данные — информация, которая прямо или косвенно относится к конкретному физическому лицу.

Проще говоря, это Ф. И. О., паспортные данные, банковские данные, номера телефона, адрес проживания, фотография и так далее. Важно, чтобы данные относились к конкретному человеку. Абстрактный номер телефона не является персональными данными, потому что невозможно понять, кому он принадлежит. Но если напротив этого телефона стоит Ф. И. О., то это уже персональные данные, так как понятно, к какой персоне они относятся.

Читайте также:  Как правильно уволить работника по инициативе работодателя

Субъект персональных данных — лицо, чьи данные собираются, обрабатываются и хранятся. Оператор персональных данных — это юридическое лицо или государственная организация, которые эти данные собирают, обрабатывают, хранят, передают и уничтожают.

Понятие персональных данных

Если толковать это понятие согласно первому пункту статье третьей ФЗ №152, личные данные – информация, относящаяся к конкретному человеку и способная идентифицировать его личность. Часто возникают проблемы из-за незнания конкретных данных, которые считаются персональной информацией. К персональным данным относится: • Фамилия Имя Отчество; • конкретный адрес, по которому прописан и проживает человек; • любые паспортные данные; • контакты человека; • сведения о доходе. На самом деле, очень многие данные могут квалифицироваться в качестве персональных. При этом вышеперечисленная информация необходима при трудоустройстве работника. Выходит, что работодатели, принимая человека на работу, нарушают закон. Важно! Во избежание проблем, потенциальный работник должен подписать согласие на обработку предоставляемых персональных данных. Если он отказывается это сделать, работодатель не может заключить с ним трудовой договор. Согласно статье 85 Трудового кодекса Российской Федерации к персональной информации относится та часть данных, которая необходима другому человеку для дальнейших трудовых отношений. За разглашение персональной информации наниматель будет нести дисциплинарную ответственность. Есть отдельные случаи, когда работодатель может нести ответственность за разглашение персональных данных, предназначенную Уголовным кодексом Российской Федерации.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

На основании п. 2.5 указанного документа к личным данным относятся:

  • имя, отчество и фамилия гражданина;
  • дата его рождения (число, месяц и год);
  • место рождения;
  • адрес регистрации или место фактического проживания;
  • сведения о семейном положении и детях;
  • социальное положение;
  • данные об имуществе;
  • размер и источники дохода;
  • сведения об оконченных учебных заведениях;
  • профессия и занимаемая должность.
Читайте также:  В Узбекистане утверждены новые условия ограничения на выезд за границу

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Цель использования данных

Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.

Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.

Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором.

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

Что относится к сведениям, которые не могут составлять коммерческую тайну предприятия

Такие сведения оговорены в ст. 5 закона № 98-ФЗ и включают в себя информацию:

  • указанную в учредительных документах и документах о регистрации юрлица или ИП в госорганах;
  • указанную в разрешениях на коммерческую деятельность;
  • об использовании бюджетных средств и об имуществе госучреждений и государственных (муниципальных) унитарных предприятий;
  • влияющую на безопасность отдельных граждан или всего населения (о влиянии на окружающую среду, о соблюдении противопожарной, санитарной техники безопасности, безвредность пищевых продуктов и т. д.);
  • относящуюся к кадровой (количество работников, их состав, система оплаты труда, условия и охрана труда, травматизм и проф. заболевания, имеющиеся вакансии, задолженность по зарплате и соцвыплатам);
  • о противозаконных действиях и понесенных за это наказаниях;
  • об условиях приватизации госсобственности;
  • для некоммерческих организаций: о доходах, расходах, имуществе, о количестве сотрудников и их зарплате, об использовании бесплатного труда;
  • о списке лиц, которые выступают от имени организации без доверенности;
  • прочая информация, необходимость раскрытия которой указана в других законах.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *