+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Особенности обработки персональных данных в контрактной системе

Содержание

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Особенности обработки персональных данных в контрактной системе

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Особенности обработки персональных данных в контрактной системе

Особенности обработки персональных данных в контрактной системе

Вопрос регулирования обработки и предоставления персональных данных при осуществлении закупок остается острым для всех заказчиков. В статье дается обзор законодательных норм, регулирующих оборот предоставленных заказчиками персональных данных.

В результате взаимодействия между собой субъектов контрактной системы в процессе госзакупок происходит передача значительного объема информации.

Часть ее неизбежно включает персональные данные физических лиц, запрет или ограничение распространения, обработки которых без согласия субъектов персональных данных прямо установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

В этой связи закономерно встает вопрос всеми субъектами контрактной системы требований по обработке персональных данных.

Цели использования персональных данных могут быть различными. Кроме очевидной пользы от того, что каждый субъект контрактной системы может получить необходимую консультацию, разъяснения, провести переговоры, организовать демонстрации товаров, работ, услуг и т. д.

, существуют и риски, связанные с оказанием возможного давления на работников контрактной службы (контрактного управляющего), на членов комиссии по осуществлению закупок извне в целях совершения определенных «правильных действий» в рамках конкретной закупки и т. д.

В век телекоммуникационных технологий, когда можно быстро получать и компилировать данные из различных источников персональной информации, самое важное — ограничить или полностью запретить несанкционированную возможность вторжения в личную жизнь.

Риски, связанные с особенностями обработки и передачи персональных данных, высоки во всех сферах деятельности: и в трудовых отношениях, и в здравоохранении, и в образовании, и в государственном секторе.

Согласно норме ст. 3 Закона № 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных представляет собой любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Законом № 152-ФЗ запрещается распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания. Таким образом, информацию о физических лицах, так или иначе используемую в контрактной системе, все без исключения субъекты контрактной системы обязаны обрабатывать с учетом требований Закона № 152-ФЗ.

С учетом того, что значительная часть проблем по обработке персональных данных возникает в рамках осуществления своих обязанностей работниками контрактной службы или контрактным управляющим, следует подробно остановиться на вопросах обработки персональных данных именно этими категориями субъектов контрактной системы.

Основания органов контроля для предоставления им персональных данных

Многие заказчики в процессе осуществления закупок периодически сталкиваются с серьезной проблемой предоставления заказчиком персональных данных по запросу ФАС России и ее территориальных подразделений (далее — орган контроля).

Предложения предоставить в антимонопольную службу в числе прочих данных первоначальную информацию заказчики получают на разных этапах, например в процессе подготовки органа контроля к рассмотрению жалобы на действия (бездействие) заказчика, контрактного управляющего, комиссии по осуществлению закупки, а также в случае возбуждения административного производства по итогам установления факта нарушения законодательства Российской Федерации о контрактной системе в сфере закупок.

Что предпринять в таких ситуациях заказчику? С одной стороны, установлена административная ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), с другой — орган контроля «предупреждает» заказчика об административной ответственности за непредоставление запрашиваемых сведений, которая в несколько раз выше, чем за правонарушения в отношении персональных данных.

Орган контроля ссылается на ч. 1 ст. 25 Федерального закона от 26.07.

2006 № 135-ФЗ «О защите конкуренции» (далее — Закон о защите конкуренции), которая предусматривает обязанность представления субъектом контроля в антимонопольный орган по его мотивированному требованию в установленный срок необходимые антимонопольному органу в соответствии с возложенными на него полномочиями документы и информацию в письменной и устной форме, в т. ч. информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну, а также акты, договоры, справки, деловую корреспонденцию, иные документы и материалы, выполненные в форме цифровой записи или в форме записи на электронных носителях. Следовательно, Законом о защите конкуренции предусмотрена обязанность предоставления субъектом контроля персональных данных без согласия субъекта персональных данных.

Далее орган контроля акцентирует внимание на нормах КоАП РФ. В соответствии со ст. 26.10 КоАП РФ орган контроля в сфере закупок, в производстве которого находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела.

Сведения должны быть направлены в трехдневный срок со дня получения определения. На основании ч. 28, 30 ст. 99 Закона о КС субъекты контроля обязаны представлять в орган контроля по его требованию документы, объяснения в письменной форме, информацию о закупках ( в т. ч.

сведения о закупках, составляющие государственную тайну), а также давать в устной форме объяснения.

Нормы законодательства о правомерности и обязанности непредоставления персональных данных

Представляется, что позиция и обоснование требований органа контроля о предоставлении персональных данных выглядят весьма спорными и не в полной мере соответствующими действующему законодательству Российской Федерации.

Конституция РФ

На основании нормы ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Кроме того, каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Закон № 152-ФЗ

Согласно ст. 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Исключения из этого правила подлежат установлению федеральными законами, которыми предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Указом Президента РФ от 06.03.

1997 № 188 «Об утверждении перечня сведений конфиденциального характера» установлены данные, относящиеся к конфиденциальным: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в СМИ в установленных федеральными законами случаях, которые не должны быть разглашены.

Источник: https://www.pro-goszakaz.ru/article/101715-qqe-16-m3-osobennosti-obrabotki-personalnyh-dannyh-v-kontraktnoy-sisteme

Обработка персональных данных в 2018: как избежать штрафа

Особенности обработки персональных данных в контрактной системе

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Особенности защиты персональных данных | Особенности сбора и обработки персональных данных в Российской Федерации

Особенности обработки персональных данных в контрактной системе

Закон «О персональных данных» № 152-ФЗ от 27.07.

2006 года регулирует отношения государства, физических и юридических лиц в области сбора, хранения, обработки и защиты персональных данных (ПД) с помощью средств автоматизации или без них.

Цель закона состоит в защите прав граждан по сохранению тайны их личной жизни. Любая организация, собирающая и обрабатывающая ПД, является оператором ПД.

Работа оператора с ПД сотрудников и других физических лиц

Для эффективной работы каждой организации-оператора всегда требуется определять набор персональных данных граждан, работников, клиентов, посетителей. Эти сведения постоянно собираются у субъектов персональных данных или выбираются из иных законных источников. При этом оператор должен уведомить субъекта о целях сбора информации о нем и получить его письменное согласие на сбор.

Обработка персональной информации граждан является законной в следующих случаях:

  • если получено письменное разрешение лица на обрабатывание его личных данных;
  • если это необходимо для надлежащего исполнения оператором своих функций;
  • для осуществления правосудия;
  • для получения государственной услуги;
  • с целью оформления и исполнения договора;
  • для защиты жизни и здоровья физлица;
  • с целью реализации легитимных требований операторов или их клиентов, в случае ненарушения прав субъектов ПД;
  • профессиональной работы журналистов, СМИ при соблюдении законных прав субъекта этой информации;
  • статистических и других исследований, с обязательным соблюдением условия по обезличиванию собранной информации;
  • если ПД стали общедоступными благодаря самому субъекту;
  • когда ПД подлежат публикации или непременному открытию ввиду требований закона.

Долгом оператора является обеспечение конфиденциальности личной информации, если другое не предусмотрено законом.

Принципы и условия обрабатывания оператором личных данных

  1. Обрабатывание ПД реализовывается на законной основе.
  2. Должны быть определены точные цели обрабатывания личных данных и перечисление необходимых данных для реализации этих целей.

  3. Для каждой цели или совместимой группы целей нужно создавать отдельную базу данных (БД). Объединять базы данных, если их цели несовместимы, недопустимо.
  4. ПД должны быть точными, полными и актуальными для данных целей.

  5. Когда эти данные больше не нужны, они уничтожаются операторами в течение пяти лет или отдаются в архив, если это предусмотрено законом.

Обязанности оператора

  • Зарегистрироваться в Реестре операторов персональных данных Роскомнадзора, заявив о целях собирания и обрабатывания ПД.
  • Получить письменное разрешение субъекта на обрабатывание его персональной информации, если другое не предусмотрено законом.

  • Обеспечить должную защиту обрабатываемых и хранимых ПД.
  • Давать ответ на запрос субъекта о составе его персональных данных в предусмотренный законом срок.
  • Уничтожать ПД или передавать в архив в течение пяти лет, если надобность в них исчезла.

  • Информировать субъекта о причине отказа от предоставления персональных данных.

Особенности работы с ПД при оформлении личных дел работников предприятия

Порядок оформления личных дел сотрудников действующим законодательством не нормирован. Работодатель имеет право на хранение в личном деле сотрудников копии его документов, если соблюдены такие условия:

  • службой кадров принято согласие от сотрудника на хранение и обработку его персональных данных;
  • персональные данные обрабатываются в целях лучшей организации производства, соблюдения требований нормативных актов, помощи работникам при трудоустройстве, определения уровня их специальных знаний, повышения квалификации, обеспечения надлежащей сохранности персональных данных;
  • объем ПД не избыточен для должной работы данного учреждения.

Обработка ПД, которые не предусмотрены законодательством, сбор нецелевых личных данных, работа с персональными данными без письменного согласия гражданина влекут за собой предупреждение проверяющих органов или штраф.

Применение фотографий зачислено в категорию обрабатывания биометрических ПД, поэтому на такие действия нужно письменное согласие субъекта персональных данных.

Порядок оформления личного дела и возможный состав персональных данных:

  • содержание личного дела;
  • заявление о приеме на работу;
  • приказ о приеме на работу;
  • анкета;
  • автобиография и резюме;
  • копии дипломов;
  • трудовой договор;
  • представления к переводам на другую должность;
  • приказы о переводах;
  • внесение изменений персональных данных;
  • документация об аттестации сотрудника;
  • заявления персонала;
  • документы о здоровье;
  • фото;
  • приказ о поощрении и взыскании;
  • копии паспортных данных;
  • копии карточек ПФР;
  • индивидуальные налоговые номера;
  • копии военных билетов;
  • документы о заключении брака;
  • документы о рождении детей;
  • списки научных работ, изобретений;
  • характеристики и отзывы.

Контроль деятельности операторов ПД

Проверку законных оснований для обработки ПД проводит Роскомнадзор. Плановая проверка проводится один раз в три года и в точные сроки, подготовленные Роскомнадзором и утвержденные прокуратурой. Плановая проверка оператора осуществляется в начале его деятельности и далее через каждые три года.

Основаниями для внеплановой проверки являются:

  • контроль исполнения предписания о ликвидации нарушения, выявленного в ходе предыдущей проверки;
  • требование прокуратуры из-за поступивших обращений и жалоб на действия оператора;
  • бездействие операторов, из-за которых были нарушены интересы субъектов РФ;
  • приказ Роскомнадзора, изданный на выполнение поручений Президента или Правительства РФ.
  • Проверка проводится не больше 20 рабочих дней, но при надобности может быть продолжена еще на такой же срок.

Способы проверок:

  • выезд на место обработки персональных данных;
  • проверка предоставленной по запросу документации;
  • систематическое наблюдение инспекторами-специалистами, на основе которого вырабатываются выводы о соблюдении норм законов по работе с персональными данными.

Ответственность за незаконную обработку персональных данных

Оператору нельзя собирать, хранить, использовать и распространять информацию о личной жизни, переписке, телефонных разговорах и т. п., если нет судебного постановления или других законных оснований для этой деятельности.

Оператор не вправе причинять материальный и моральный урон людям, ущемлять их права и свободы, используя персональные данные.
Нарушение закона «О персональных данных» может повлечь за собой дисциплинарную, административную и уголовную ответственность.

Требования к защите персональных данных

Нормы законодательства о защите личной информации являются необходимыми для исполнения. Оператору вменяется в обязанность принимать нужные меры для защиты ПД от незаконного или просто случайного доступа к ним, удаления, фальсификации, блокировки, несогласованного копирования, размножения ПД, а также от других незаконных шагов в отношении личных сведений.

Для надлежащей защиты ПД необходимо:

  • установить актуальные угрозы безопасности при обрабатывании информации в информационных системах персональных данных (ИСПДн);
  • принять адекватные меры организационного и технического характера;
  • применять сертифицированные средства информационной защиты;
  • перед вводом в эксплуатацию провести аттестацию ИСПДн на соответствие защитных систем правовым нормам;
  • вести учет машинных носителей ПД;
  • обнаруживать факты незаконного доступа к этой информации и выполнять соответствующие действия по улучшению их защиты;
  • восстанавливать поврежденную информацию;
  • установить режим доступа к ПД только строго установленных лиц;
  • регистрировать все действия, совершаемые при работе с ПД.

Защита от несанкционированного доступа

  • Разрешительная система допусков к информсистеме.
  • Ограничение возможности входа в помещения с техническими средствами обработки персональных данных.
  • Регистрация действий при работе с ПД.
  • Строгий учет и хранение съемных носителей данных.
  • Создание резервных копий и дублирование баз данных и носителей информации.

  • Использование сертифицированных средств защиты информации.
  • Защищенные каналы связи.
  • Нахождение технических средств обработки персональных данных в пределах охраняемой территории.
  • Борьба с вредоносными программами и вирусами с помощью сертифицированных антивирусных программ и других методов защиты.
  • Межсетевое экранирование.

  • Анализ защищенности информационных систем сканерами безопасности.
  • Ограждение каналов связи от считывания данных.
  • Использование смарт-карт, электронных замков для правильной идентификации пользователей.
  • Систематическое испытание межсетевого экрана имитацией атак извне.

  • Аутентификация дружественных информсистем и обеспечение целостности пересылаемых данных.

Особенности защиты персональных данных в ЕС

25 мая 2018 года вступил в силу Регламент о защите персональных данных. Его действие распространяется на все компании, которые обрабатывают персональные сведения о лицах, находящихся в ЕС.

На что стоит обратить внимание:

  • расширился список персональных данных (добавлены данные о местонахождении, IP-адреса, cookies);
  • увеличились правовые возможности субъектов ПД (право на перемещение данных из одной компании в другую, право на ликвидацию всех сведений о себе из БД компании);
  • появились новые обязательства для операторов (доказательство законности обрабатывания данных, защита ПД по умолчанию, назначение для компаний-нерезидентов представителя в ЕС, определение ответственного лица по защите данных);
  • детально прописано согласие субъекта на обрабатывание ПД (согласие выражается активным действием: письменным сообщением, в том числе, и через электронные средства, или же устно);
  • описано, какие должны быть приняты меры, если утеряны ПД либо к ним произошел несанкционированный доступ (компания должна послать уведомление контролирующему органу на протяжении 72 часов после произошедшего инцидента, а если утечка данных является существенной, то проинформировать об этом и субъекта ПД для предупреждения о возможной опасности);
  • расширена территория действия Регламента за границы ЕС.

Таким образом, европейскими законодателями ставится важная цель по созданию единой действующей правовой базы, которая будет распространяться на все государства, являющиеся членами ЕС, и даже за его пределы.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/osobennosti-zashchity-personalnyh-dannyh/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.