Что означает обработка персональных данных – Что означает согласие на обработку персональных данных. Форма согласия работника на обработку персональных данных :: SYL.ru

Содержание

Обработка персональных данных — это что такое? Образец заявления на согласие

Обработка персональных данных – это совершение определенных операций с личными сведениями гражданина. В их число входит сбор, систематизация, хранение, накопление, изменение, обновление, распространение, передача, иное использование, блокирование, уничтожение, обезличивание. Необходимо учитывать, что вне зависимости от числа предусмотренных в законодательстве операций нормативное регулирование должно распространяться на все этапы обработки персональных данных. Этим будет обеспечена надлежащая их защита.

Ключевые принципы

Обработка персональных данных – это специфическая деятельность компетентных структур. Она должна основываться на принципах:

  • Правомерности целей и способов работы с информацией, добросовестности операторов.
  • Соответствия направленности операций целям, заявленным при оформлении бланка на обработку персональных данных. При этом оператор должен обладать соответствующими полномочиями.
  • Соответствия характера и объема личных сведений, способов их обработки заявленным целям.
  • Достоверности персональной информации, их достаточности.
  • Недопустимости обработки данных, не относящихся к целям, заявленным при их сборе.
  • Недопустимости объединения информационных баз, созданных для реализации несовместимых друг с другом целей.

Обработка персональных данных работника

Деятельность по работе с личной информацией начинается с получения сведений. По общим правилам, все данные предоставляет сам сотрудник. В некоторых случаях информацию можно получить только у стороннего субъекта. Об этом сотрудник должен быть извещен заранее. В таких ситуациях обязательно согласие работника на обработку персональных данных.

Наниматель должен сообщить гражданину о целях, источниках и способах работы с личной информацией, характере сведений, подлежащих получению. Работодатель разъясняет также последствия отказа сотрудника дать согласие на обработку персональных данных.

Ограничения

В ТК РФ предусмотрено несколько статей, ограничивающих возможности нанимателя при обработке персональных данных. Это статьи 86 и 88.

Согласно 4 пункту 86 нормы, наниматель не вправе запрашивать, собирать, хранить, использовать и совершать иные действия со сведениями, касающимися идеологических, политических, других убеждениях гражданина, его частной жизни. На основании 88 статьи ТК, работодатель не может требовать предоставления информации о состоянии здоровья сотрудника, если она не относится к решению вопроса, касающегося возможности исполнения им своих обязанностей.

Локальное нормативное регулирование

Обязанность ознакомления персонала с документами нанимателя, закрепляющими правила обработки персональных данных (образцы некоторых из них представлены в статье), их правами и ответственностью в этой сфере отражается в специальном правовом акте. В зависимости от особенностей деятельности предприятия и по усмотрению нанимателя, он может называться Инструкцией или Положением. Как правило, используется второй вариант.

Положение об обработке персональных данных: образец

В локальном документе, как правило, содержатся следующие пункты:

  • Общие положения. Здесь раскрываются основные понятия, используемые в документе.
  • Порядок обработки личных сведений.
  • Правила формирования персональной информации.
  • Хранение, учет, передача личных сведений.
  • Обязанности и права сотрудника в сфере обработки и защиты персональной информации.

В Положении закрепляется режим ограниченного доступа к личным сведениям. Служащие, ответственные за их обработку, должны соблюдать установленные правила. Соответствующая обязанность закрепляется в их должностных инструкциях, а также договоре и дополнительных соглашениях.

Положение об обработке сведений рассматривается как ключевой документ, отражающий специфику совершения операций с личными данными персонала. Этот акт обязательно должен присутствовать на предприятии.

Согласие субъекта

Гражданин, личные сведения о котором подлежат обработке, принимает решение об их предоставлении добровольно и в своих интересах. Его согласие должно быть сознательным и конкретным. Оно может быть выражено в любой форме, позволяющей достоверно подтвердить получение, если другое не закреплено в федеральном законодательстве. Если заявление на обработку персональных данных лица получено от его представителя, полномочия последнего должны быть проверены оператором. Такая ситуация, к примеру, может возникнуть при необходимости совершить операции с личными сведениями несовершеннолетних. В таких случаях оператор получает согласие на обработку персональных данных от родителей или иных законных представителей ребенка. Их полномочия подтверждают документы, выданные в порядке, установленном законом. В частности, это может быть паспорт родителя и св-во о рождении несовершеннолетнего.

Указанные правила закреплены в 1 части 9 статьи ФЗ № 152.

Нюансы законодательства

В соответствии с ч. 2 9 статьи ФЗ № 152, субъект имеет возможность отозвать согласие, данное им ранее. В такой ситуации оператор может продолжить обработку полученных от гражданина сведений без его разрешения при наличии оснований, предусмотренных пунктами 2-11 1 части 6 статьи, ч. 2 ст. 10 и ч. 2 ст. 11 Закона «О персональных данных».

Обязанность предоставлять доказательства наличия согласия от субъекта возлагается на оператора.

Письменное разрешение

В предусмотренных законодательством случаях обработка информации производится исключительно после получения согласия, оформленного письменно, от субъекта. Равнозначным бумажному носителю, заверенному личной подписью гражданина, признается электронный документ, подписанный цифровой подписью.

В бланке согласия на обработку персональных данных должны указываться:

  • Ф. И. О., адрес субъекта, реквизиты основного документа, подтверждающего его личность, информация о дате оформления и органе, выдавшем его. Для представителя указываются эти же сведения, а также данные о доверенности, на основании которой он действует.
  • Название или Ф. И. О., адрес оператора.
  • Цель обработки сведений.
  • Перечень данных, обработка которых разрешается субъектом.
  • Конкретные операции, которые будут совершаться с личными сведениями гражданина, общее описание методов работы с информацией.
  • Период, на протяжении которого действует оформленное лицом согласие, способ отзыва разрешения, если другое не предусматривается законом.
  • Подпись субъекта.

Правила получения согласия в электронной форме для предоставления муниципальных и госуслуг, а также услуг, необходимых для их оказания, определяется правительством.

Дополнительные сведения

Если субъект является недееспособным, разрешение на обработку данных о нем дает законный представитель. Если гражданин умер, согласие могут дать его преемники, если оно не было получено оператором при жизни лица.

Биометрические данные

Ими называют сведения, характеризующие биологические и физиологические особенности субъекта, по которым можно установить личность человека. Их обработка может осуществляться при наличии согласия, оформленного письменно. Исключения предусматриваются часть. 2 11 статьи ФЗ № 152.

Обработку биометрических сведений допускается осуществлять без согласия гражданина в целях:

  • реализации положений международных соглашений, участницей которых является РФ;
  • отправления правосудия и исполнения судебных постановлений.

Такая обработка также разрешена в случаях, предусмотренных нормативными актами, регламентирующими:

  • Оборону и безопасность страны.
  • Противодействие терроризму и коррупции.
  • Транспортную безопасность.
  • Оперативно-розыскную деятельность.
  • Порядок несения госслужбы.
  • Правила исполнения уголовных наказаний.
  • Порядок выезда/въезда лиц из/в РФ.

Специфика обработки информации в муниципальных/государственных информсистемах

Местные структуры власти и госорганы в рамках своих полномочий, закрепленных федеральным законодательством, формируют специальные базы личных данных.

Нормативными актами могут предусматриваться особенности учета личных сведений в муниципальных и государственных информсистемах, в том числе касающиеся использования разных методов обозначения принадлежности сведений конкретному лицу.

Для обеспечения надлежащей реализации прав граждан-носителей данных при обработке сведений в муниципальных или государственных информсистемах может создаваться регистр населения, юридический статус которого, а также правила работы с ним закрепляются федеральным законодательством.

Запреты

Свободы, интересы, права граждан не могут ограничиваться по мотивам, обусловленным использованием разных способов обработки личных сведений либо обозначения их принадлежности конкретному гражданину. Запрещено использовать методы, оскорбляющие чувства человека, унижающие его достоинство.

кроме того, операторы в своей деятельности обязаны руководствоваться положениями Конституции. В Основном Законе, в частности, не допускается никакая дискриминация граждан ни по каким признакам.

Обязанности оператора

При сборе личных сведений уполномоченный орган должен предоставить субъекту по его просьбе информацию, определенную в 7 части 14 нормы ФЗ № 152.

Если сообщение персональных данных, по установленным законодательством правилам, является обязательным, оператору надлежит уведомить гражданина о последствиях отказа передачи нужных сведений.

Специальные обязанности предусмотрены в случае, если личная информация была получена не от ее носителя. В таких ситуациях оператор должен сообщить субъекту:

  • Свое наименование или Ф. И. О. и адрес. Если от его имени действует представитель, сообщаются соответственно данные о нем.
  • Цель работы с личными сведениями, правовое основание работы с ними.
  • Предполагаемые пользователи информации.
  • Права субъекта-носителя персональных данных.
  • Источники получения сведений.

Оператор может быть освобожден от обязанности сообщать указанные выше данные, если:

  • Гражданин был извещен о совершении операций с его персональными сведениями.
  • Личная информация была получена на основании положений федерального законодательства либо в связи с выполнением условий соглашения, в котором поручителем либо выгодоприобретателем выступает ее носитель.
  • Персональные данные были получены из источника с неограниченным доступом либо стали общедоступными в результате действий самого гражданина.
  • Обработка личных сведений осуществляется для исследовательских или статистических целей, ведения профессиональной журналистской, научной, творческой, литературной деятельности. При этом не должны нарушаться права и интересы носителя данных.

Оператор должен предпринимать достаточные и необходимые меры для обеспечения исполнения обязанностей, установленных в ФЗ № 152 и иных нормативных актах, изданных в соответствии с этим Законом. Состав и перечень надлежащих мероприятий определяется компетентной структурой самостоятельно, если другое не закреплено правовыми документами.

fb.ru

Обработка персональных данных — согласие работника, кто такой оператор и порядок обработки

В последние десятилетия информационные технологии развиваются очень стремительно. В связи с этим личные данные человека нуждаются в серьезной защите от возможного посягательства со стороны мошенников. Для этого в России разработан и сегодня действует Закон «О персональных данных», имеющий своей целью законодательно регламентировать взаимоотношения в сфере передачи и использования личной информации о физических лицах.

Что такое персональные данные

Указанный термин подразумевает абсолютно любую информацию, имеющую отношение к конкретному физическому лицу. Законодательная защита личной информации — это самое важное условие полноценной реализации такого конституционных прав человека и гражданина в сфере частной жизни.

Дорогой читатель! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону.

Это быстро и бесплатно!

На уровне закона охраняются все сведения, имеющие отношение к физическому лицу прямо или опосредованно. К этим сведениям относятся: фамилия, имя и отчество человека, адрес места проживания, день рождения, место рождения, контактный телефонный номер, адрес электронной почты, любые сведения относительно принадлежащих ему документов (серия и номер паспорта, данные страхового свидетельства и медицинского полиса, идентификационный номер налогоплательщика). Сюда же можно отнести любую информацию о состоянии его здоровья, семейном положении, расовой и этнической принадлежности, политических взглядов и религии, иные сведения.

Основные принципы обработки

Основополагающим правилом обработки личных данных человека является ее осуществление в четком соответствии с законодательными нормами.

К иным не менее важным принципам можно отнести следующие:

  • Целевой характер применения используемых личных данных. Неконтролируемая и нецелевая переработка информации личного характера незаконна. Запрещено соединение нескольких баз, содержащих данные различной целевой направленности. Работа с личными данными должна производиться ровно в том размере и объеме, какие необходимы для достижения соответствующей цели.
  • Точность, достаточность передаваемой информации. Субъект, производящий обработку соответствующих сведений, обязано обеспечить их точность и актуальность, а в случае обнаружения любого несоответствия действительности, уточнить их либо удалить неверную информацию.
  • Ограниченный определенными временными рамками срок хранения информации. Такой срок устанавливается законодательством либо оговаривается сторонами в договоре между ними. Если же срок хранения не регламентирован, он не может превышать разумную длительность для соответствующей цели. Когда установленный срок истекает, дальнейшее хранение данных не может осуществляться и они подлежат удалению.

Кто такой оператор

Данный термин объединяет в себе широкий перечень лиц, обладающих любым видом доступа к объекту обработки. Эти лица производят их передачу, хранение, определяют цель и объем их использования. То есть абсолютно каждое лицо, которому по той или иной причине стали известны персональные данные можно назвать оператором. И все они обязаны соблюдать законодательные требования и принципы в данной области. Операторами могут быть органы государственной власти, физические лица, организации любой формы собственности.

Каждый оператор прежде чем приступить к обрабатыванию личностных данных обязан уведомить о своем желании осуществлять такую деятельность Роскомнадзор. 

Территориальные подразделения Роскомнадзора ведут специальные реестры для обобщения информации.

Для чего нужна обработка личных данных

В современном мире персональные данные имеют особенно значимую ценность по многим причинам. Именно поэтому порядок работы с личными данными человека должен быть регламентирован на уровне закона. Лица, имеющие доступ к персональным данным, обязаны использовать их в четком соответствии с требованиями законов РФ. Несоблюдение этого важного правила может повлечь привлечение виновного лица к ответственности (административной, дисциплинарной или уголовной).

Согласие на передачу личных данных

Все мы сталкивались хоть раз с предложением подписания согласия на обработку персональных данных, заключая договоры, устраиваясь на работу, делая покупки в интернете и во многих других ситуациях. Такое согласие должно четко содержать намерение лица передать информацию личного характера оператору и согласие на ее переработку. Человек, давший такое согласие, вправе впоследствии его отменить.

В некоторых случаях согласие на обработку персональных данных может быть выражено только в письменном виде и закреплено личной подписью. К письменному согласию приравнивается по юридической силе согласие в электронной форме за цифровой подписью субъекта персональных данных.

Требования к содержанию такого документа:

  • сведения о правообладателе данных или его законном представителе, позволяющие надлежащим образом их идентифицировать;
  • основная информация об операторе;
  • перечисление точных сведений, входящих в состав персональных данных, цель обработки, конкретные действия и шаги, которые при этом будет реализовывать оператор;
  • данные третьего лица, производящего обработку персональных данных по требованию оператора;
  • длительность обработки;
  • способы отмены данного ранее согласия;
  • подпись человека, сообщающего данные о себе.

Условия для обработки данных

Использование личной информации, производимое в соответствии с законными принципами и в надлежащем порядке, допускается в определенных случаях:

  • при наличии согласия человека, к которому данные относятся;
  • во исполнение законодательства РФ и международных правовых актов, также исполнительного производства, во исполнение вступивших в силу судебных или иных подлежащих исполнению по закону актов уполномоченных органов власти;
  • для выполнения условий договора или соглашения;
  • с целью незамедлительных действий для защиты жизни, здоровья и личных интересов физического лица, реализации общественно значимых интересов;
  • в статистических, научных и иных исследовательских целях, а также для реализации профессиональной деятельности работников СМИ;
  • если осуществляется обработка общедоступной информации либо сведений, подлежащих раскрытию и опубликованию в соответствии с законодательством.

Ответственность перед физическим лицом, сведения о котором публикуются третьими лицами, несет сам оператор.

Условия передачи и хранения

Понятие использования личных данных физических лиц включает в себя широкий спектр любых манипуляций с персональными данными, в том числе их хранение, аккумуляцию и дальнейшую передачу и любые другие виды использования. Оператору необходимо всевозможными способами обеспечить защиту порученной ему информации от утери и ее незаконного использования сторонними лицами.

В данной деятельности используют как бумажные носители, так и электронные средства учета. В каждой организации, выступающей в качестве оператора, должен быть разработан внутренний документ о хранении и обработке персональных данных, обычно он называется положением или правилами. В нем указываются конкретные методы, используемые в данной организации, а также круг лиц, допущенных к обработке персональных данных, права и обязанности этих людей.

Права работников в вопросах обработки персональных данных

Операторы, осуществляющие любые виды деятельности с данными личного характера, должны руководствоваться в своей деятельности в том числе и трудовым законодательством. Прежде всего, каждый работник организации вправе знать какие именно характеризующие его данные стали известны работодателю, а также иметь свободный и беспрепятственный доступ в любое время к этим данным.

Работник может затребовать от своего руководства корректировки неточностей и ошибок в персональных данных, их уточнения при необходимости, в том числе если функция обработки данных передана оператором третьим лицам. Сотрудник, кроме того, может назначить представителя для осуществления действий по защите своих личных данных в порядке, установленном в законе.

Если имело место нарушение или ущемление в любой форме прав работника, он вправе обратиться для защиты своих интересов в правоохранительные органы.

Таким образом, обработка, передача и хранение персональных данных физических лиц должна осуществляться в четком соответствии с нормами законодательства, нарушение которых может повлечь привлечение виновных лиц к ответственности, в том числе уголовной.

prostopozvonite.com

Обработка персональных данных — это… Что такое Обработка персональных данных?

Обработка персональных данных  — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Федеральный закон «О персональных данных»

Обработка персональных данных в России

В 90-х годах в России персональные данные сотрудников и клиентов организаций спокойно продавались на дисках. Их можно было купить на рынке или в подземном переходе. В 90-е годы законодательство РФ не предполагало какой-либо ответственности за разглашение конфиденциальной информации. Впервые понятие «персональные данные» упоминается в российском законодательстве в указе Президента «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. В этом указе лишь перечисляется то, что относится к конфиденциальной информации, но там ничего не сказано ни об обработке персональных данных, ни о видах ответственности за неправомерную обработку.

В 2001-м году Государственной Думой был принят Трудовой Кодекс РФ, в котором глава 14 посвящена защите персональных данных работников. В этой главе было определено понятие «обработка персональных данных работника» следующим образом:

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Согласно Трудовому Кодексу РФ работодатель не имеет права на обработку персональных данных без ведома и согласия работника, не может получать данные о его религиозных, политических и иных убеждениях, а также несёт ответственность за потерю, искажение и неправомерную обработку персональных данных.

Следующим важным шагом было принятие Федерального закона N 152-ФЗ от 27 июля 2006 года «О персональных данных». Цель этого закона — обеспечение защиты прав и свобод человека, при обработке его персональных данных.

Принципы обработки персональных данных

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе..
  2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

  1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
  3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта).
  4. Обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг.
  5. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  7. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  8. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
  9. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.
  10. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных).
  11. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

См. также

Источники

dic.academic.ru

Принципы, условия и цели и обработки персональных данных

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет–страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

  1. Автоматизированно.
  2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

  1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
  2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

  1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
  2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
  3. Ведения кадрового делопроизводства, помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
  4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
  5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

Правила и порядок

О своих сотрудниках руководитель должен получить следующую информацию:

  1. Образование.
  2. Опыт работы, прежняя должность.
  3. Данные о семье и их работе.
  4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

  1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
  2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
  3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
  4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
  5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

  1. Важно соблюдение законности и добросовестности целей и методов обработки.
  2. Соответствие целям, заявленным при сборе.
  3. Соответствие объема и характера обрабатываемой информации, методов целям.
  4. Достоверность сведений.
  5. Недопустимость объединения баз для несовместимых целей.
  6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

  1. Выполнение обработки с разрешения субъектов.
  2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
  3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

  1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
  2. Все выполняется для исполнения договора.
  3. Требуется выполнение статистических и других научных целей.
  4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
  5. Выполняется доставка почтовых отправлений.
  6. Осуществляется профессиональная деятельность журналиста.
  7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

  1. Руководители кадрового отдела.
  2. Кадровые инспекторы.
  3. Руководители по персоналу.
  4. Заместители руководителей по персоналу.
  5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

  1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
  2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
  3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
  4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.

fb.ru

Автоматизированная и неавтоматизированная обработка персональных данных

Автоматизированная и неавтоматизированная обработка персональных данных

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].

Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции «О защите физических лиц при автоматизированной обработке ПД» от 28 января 1981 года. Данный документ вводит понятие «автоматизированный файл» – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, «автоматизированная обработка » включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].

3.2.Особенности обеспечения безопасности персональных данных в автоматизированных системах

Автоматизированные системы обработки информации (АС) в общем случае классифицируются по следующим признакам:

  1. наличие в АС информации различного уровня конфиденциальности;

  2. уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

  3. режим обработки данных в АС — коллективный или индивидуальный.

Устанавливается 9 классов защищенности АС от несанкционированного доступа. Каждый класс характеризуется установленным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А. [4]

Деление АС на классы производится в целях выбора оптимальных и достаточных мер защиты для достижения требуемого уровня защищенности.

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

В зависимости от структуры АС и способа обработки информации руководящими документами предусмотрены требования и рекомендации к нижеследующим случаям обработки информации:

обеспечение безопасности в автоматизированных рабочих местах (АРМ) на базе автономных ПЭВМ при использовании съемных накопителей большой емкости. Такие рабочие места обладают всеми признаками автоматизированной системы, соответственно, должны удовлетворять определенным требованиям по защите информации. Основной особенностью является исключение хранения на ПЭВМ информации, подлежащей защите.

Обмен информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей. На рабочих местах исполнителей не должно быть неучтенных носителей информации. В случае формирования конфиденциальных документов с использованием, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть «закрыты на запись».

При использовании в данном случае Flash-Bios (FB), необходимо обеспечить целостность записанной в FB информации. Для обеспечения целостности, как перед началом работ, с конфиденциальной информацией при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB. При несовпадении необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB.

Должна быть согласована и утверждена технология обработки защищаемой информации, предусматривающая такие вопросы, как защита информации, учет носителей, размещения, эксплуатации АРМ и т.п.

обеспечение безопасности в локальных вычислительных сетях. Основными особенностями ЛВС являются распределенное хранение информации, удаленная обработка данных, а также сложность контроля за работой пользователей и общей защищенностью сети. В данном случае средства защиты информации должны использоваться во всех узлах сети, независимо от того, обрабатывают они конфиденциальную информацию или нет.

Персональные данные могут обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, или с использованием межсетевого экрана соответствующего уровня.

Для управления ЛВС и распределения системных ресурсов могут быть назначены администраторы безопасности, имеющие соответствующие права и квалификацию.

Состав пользователей ЛВС должен утверждаться по письменному разрешению руководства, а все изменения регистрироваться. Каждый пользователь и администратор должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации — ключи шифрования для криптографических средств.

обеспечение безопасности при межсетевом взаимодействии. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны. Рекомендуется учитывать разделение трафика по производственной основе и видам деятельности предприятия при построении сети и конфигурировании коммуникационного оборудования.

Подключение ЛВС к другой автоматизированной системе иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать:

  • в АС класса 1Г — МЭ не ниже класса 4;

  • в АС класса 1Д и 2Б, 3Б — МЭ класса 5 или выше [5].

Если каналы связи выходят за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, защищенные волоконно-оптические линии связи либо сертифицированные криптографические средства защиты.

Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Статья 19 Федерального Закона «О персональных данных» гласит, что оператор при обработке ПД обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Обеспечение безопасности в соответствии ФЗ-№152 не требуется лишь для обезличенных и общедоступных персональных данных.

Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПД.

Персональные данные могут быть общедоступными только с письменного согласия субъекта ПД. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПД.

Автоматизированная обработка ПД осуществляется в соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.

Во второй лекции мы уже рассматривали определение информационной системы персональных данных.

Информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Безопасность ПД при их обработке в ИСПД обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных – уполномоченное лицо. При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПД при их обработке в ИСПД.

Обеспечение безопасности ПД при их обработке в ИСПД достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПД при их обработке в ИСПД полностью возлагается на оператора персональных данных.

В связи с этим оператор обязан:

  • проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПД и (или) передачи их лицам, не имеющим права доступа к такой информации;

  • своевременно обнаруживать факты НСД к персональным данным;

  • не допускать воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;

  • незамедлительно восстанавливать ПД, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

  • осуществлять постоянный контроль за обеспечением уровня защищенности ПД.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных [14].

Информационные системы персональных данных представляют собой совокупность информационных и программно- аппаратных элементов, основными из которых являются:

  • ПД, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;

  • информационные технологии, применяемые при обработке ПД;

  • технические средства, осуществляющие обработку ПД;

  • программные средства, применяемые при обработке.

  • средства защиты информации.

3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПД

Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

  1. определить угрозы безопасности персональных данных при их обработке и построить модель угроз;

  2. разработать на основе модели угроз системы защиты персональных данных, обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

  3. проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

  4. установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;

  5. обучить персонал работе со средствами защиты информации;

  6. вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

  7. вести учет лиц, допущенных к работе с персональными данными в информационной системе;

  8. контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

  9. разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

  10. составить описание системы защиты персональных данных.

Основные принципы обеспечения безопасности персональных данных

При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

  1. принцип законности;

  2. принцип максимальной дружественности и прозрачности;

  3. принцип превентивности;

  4. принцип оптимальности и разумной разнородности;

  5. принцип адекватности и непрерывности;

  6. принцип адаптивности;

  7. принцип доказательности и обязательности контроля;

  8. принцип самозащиты и конфиденциальности самой системы защиты информации;

  9. принцип многоуровневости и равнопрочности;

  10. принцип простоты применения и апробированности защиты;

  11. принцип преемственности и совершенствования;

  12. принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

  • Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

  • Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

  • Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.

  • Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

  • Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.

  • Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

  • Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

  • Принцип самозащиты и конфиденциальности самой системы защиты информации.

  • Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.

  • Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.

  • Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.

  • Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями[13].

gigabaza.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *