Презентация по мхк художественная культура мезоамерики. Культуры мезоамерики

Информация о личности человека, включающая персональные данные, защищена законодательно . В России запрещено передавать информацию о человеке посторонним без его ведома. За это предусмотрено наказание – и административное, и уголовное! Кадровик рискует быть привлечённым к ответственности, если законные требования о защите личной информации будут нарушены . Давайте до тонкостей разберём, что такое персональные данные работника, понятие и их защита.

Нормативная база

Основной закон, регулирующий защиту информации о работнике – ФЗ №152 от 27.07.2006г. Закон разъясняет, как должна обрабатываться личная информация. Обработка в нашем случае – это сбор документов работника (личных документов и приказов по работе), формирование личного дела и работа с кадровыми компьютерными программами, куда заносится личная информация.

Предоставление персональных данных

Предоставление личных данных – это передача отчётов с личной информацией в органы, которые имеют право таковую запрашивать . Например, в службы статистики или военкомат.

По смыслу закона оператор (в нашем случае – кадровик), который формирует личные дела работников, имеет прямой доступ к персональным данным всех работников организации, а поэтому несёт личную ответственность в случае разглашения личной информации.

В случае умышленного или нечаянного разглашения личной информации, оператор может быть привлечён к ответственности аж по трём кодексам:

• трудовой (ТК);
• административный (КоАП);
• уголовный (УК).

Ответственность и наказание по ТК:

• увольнение по п. «в» ст.90 за разглашение информации;
• замечание, выговор или увольнение по ст.192 – за некачественное исполнение обязанностей.

Ответственность по КоАП:

• штраф в размере 500 – 1000 рублей (требования ст.13.11 – за нарушение закона);
• штраф в размере 2500 – 3000 рублей (требования ст.13.12 – если используются несертифицированные компьютерные программы).

Ответственность по УК:

• штраф от 100 до 300 тысяч рублей , или в размере двухгодовой зарплаты, или лишение права заниматься кадровой работой на срок до 5-ти лет, а также возможно привлечение к принудительным работам до 4 лет, или арест до полугода. Также можно лишиться свободы на срок до 4-х лет – по части 2 ст.137 – за сбор должностным лицом личной информации без согласия.

Как видите – наказания серьёзные, так что не рискуйте и приведите кадровую работу в соответствие со 152 законом.

Что входит в персональные данные работника

Персональные данные по понятию законодателя, это любая информация, косвенно или прямо относящаяся к работнику. Кадровику доступны такие личные данные:

• адрес;
• телефон;
• паспортные данные;
• семейное положение;
• должность и профессия;
• размер зарплаты;
• номер страхового пенсионного свидетельства;
• личные данные о воинском учёте;
• место работы;
• сведения о стаже и местах работы;
• сведения об основаниях увольнения с прошлых мест работы;
• сведения о долгах (по алиментам или кредитам);
• данные о здоровье (инвалидности).

Вот такую информацию о работниках вам нужно правильно защитить.

Защита персональных данных работника

В документах отдела кадров по номенклатуре обязательно должно присутствовать Положение о персональных данных работников. Этот локальный акт в точности должен соответствовать 152-му закону. О том, как составить и утвердить положение, будет разъяснено в отдельной статье, а пока вернёмся к требованиям закона.

19-я статья Закона и Требования к защите данных обязывает кадровика к следующим мерам по защите информации:

• личные дела работников не должны быть доступны посторонним лицам (нужно хранить их в сейфе);
• кадровые компьютерные программы должны быть легальными и сертифицированными;
• экран компьютера, на котором установлена кадровая программа, не должен быть в прямой видимости посторонних лиц, как и сам компьютер не должен использоваться посторонними;
• используемый кадровиком компьютер не должен иметь выход в интернет во избежание вирусных угроз и похищения информации;
• кадровик должен быть назначен ответственным за хранение и обработку персональных данных приказом начальства;
• все флешки, диски или дискеты, как и бумажные документы, содержащие личную информацию, должны быть учтены в реестре и храниться в сейфе;
• нельзя передавать личную информацию (в том числе сканы или копии документов) по факсу, электронной почте или по телефону.

Обратите внимание: каждый кадровик в качестве черновиков использует ненужные документы. Если на документе есть личная информация (например, вы делаете записи на обратной стороне копии чьего-то паспорта) – не оставляйте его на столе, не передавайте кому-либо, не выкидывайте в мусор! Лучше все ненужные документы с данными сразу уничтожать .

Согласие работника на обработку персональных данных

Статья 6 Закона разъясняет, при каких условиях должна обрабатываться личная информация:каждый работник обязательно должен письменно согласиться с обработкой его данных. Согласие работника архиважно, не забывайте об этом! В законе работника обозвали «субъектом персональных данных», от которого просто необходимо получить письменное согласие на обработку его личной информации. Всё о согласии расписано в 9 статье закона.

Основное правило получения согласия – подпись на документе о согласии должна быть лично работника или его представителя по доверенности (доверенность должна быть приложена к документу).

Документ о согласии должен включать:

• ФИО, адрес, серия, номер, дата и место выдачи паспорта работника (и представителя, если имеется доверенность);
• ФИО, должность и место работы кадровика;
• цель обработки данных;
• список личных данных;
• список действий, которые будет производить кадровик с данными;
• срок действия согласия (срок трудового договора);
• подпись работника с расшифровкой.

Работа кадровика интересная, но не стоит забывать об ответственности . Для того, чтобы вы не попали в неприятную ситуацию, тут и рассмотрены вопросы – что такое персональные данные работника, понятие и их защита.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

В закладки

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

Физическое лицо: штраф в размере 700 - 1 500 рублей;

Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет-страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

1. Автоматизированно.
2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
3. помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

Правила и порядок

О своих сотрудниках руководитель должен получить следующую информацию:

1. Образование.
2. Опыт работы, прежняя должность.
3. Данные о семье и их работе.
4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

1. Важно соблюдение законности и добросовестности целей и методов обработки.
2. Соответствие целям, заявленным при сборе.
3. Соответствие объема и характера обрабатываемой информации, методов целям.
4. Достоверность сведений.
5. Недопустимость объединения баз для несовместимых целей.
6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

1. Выполнение обработки с разрешения субъектов.
2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
2. Все выполняется для исполнения договора.
3. Требуется выполнение статистических и других научных целей.
4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
5. Выполняется доставка почтовых отправлений.
6. Осуществляется профессиональная деятельность журналиста.
7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

1. Руководители кадрового отдела.
2. Кадровые инспекторы.
3. Руководители по персоналу.
4. Заместители руководителей по персоналу.
5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.

24 февраля 2016 в 17:35

Основы обработки персональных данных

• Законодательство в IT ,
• Патентование ,
• Блог компании Зарцын и партнеры

Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного - САМ ЗАКОН ВЫ НЕ ЧИТАЛИ!.. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

Основы основ

«Обработка персональных данных базируется на принципах законности и справедливости» - гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

Этапы работы с персональными данными

1. Сбор
При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:

• наименование оператора;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные законом права субъекта персональных данных;
• источник получения персональных данных.

Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:

• Подтверждение факта обработки персональных данных оператором;
• Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• Сроки обработки персональных данных;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

• на граждан в размере от трехсот до пятисот рублей;
• на должностных лиц - от пятисот до одной тысячи рублей;
• на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

БОНУС

Трансграничная передача данных возможна, ее никто не запрещал.
НО, вы обязаны

• хранить и актуализировать все данные на серверах в РФ (первичная БД)
• указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)

Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

На этом все, коллеги. Да прибудет с вами милость Эру!

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес;
• семейное, социальное, имущественное положение;
• образование, профессия, должность, доходы;
• биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

• сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
• номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
• фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

• только своих работников;
• для целей заключения и исполнения договоров (например, персональные данные контрагентов);
• для однократного пропуска лица на территорию компании;
• без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

• обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
• получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
• обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
• обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

• обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
• обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
• неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.