Все о персональных данных

Тема в разделе "Консалтинг", создана пользователем Profi1, 16 июн 2018.

  1. Profi1

    Profi1 Administrator Команда форума

    Защита персональных данных - санкции за нарушения УЖЕСТОЧИЛИСЬ!!!


    Все организации собирают, хранят и используют сведения о своих сотрудниках. Оформление трудовых отношений между работодателем и работником неразрывно связаны с необходимостью использования персональных данных работника. Данные действия работодателя закон называет «обработкой персональных данных». А организации, занимающиеся обработкой персональные данных, называются операторами по обработке персональных данных.

    Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения его личной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).


    1.Основные понятия, правовая основа.

    2.Организация работы по обработке персональных данных.

    3.Обработка персональных данных с использованием средств автоматизации и без использования таких средств.

    4.Ответственность организации и должностных лиц за нарушение законодательства о персональных данных.

    5.Информационные системы персональных данных и критическая информационная инфраструктура.

    1.Основные понятия, правовая основа.


    Согласно ст. 3 Федерального закона «О персональных данных»:

    персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся имя и фамилия, номера мобильных телефонов, паспортные данные, адрес электронной почты, а также множество другой информации, без которой невозможно вести трудовые отношения с человеком.

    обработка персональных данных — это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Необходимо отметить, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения, до уничтожения без каких-либо изъятий и исключений.


    Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных») и других, определяющих случаи и особенности обработки персональных данных, федеральных законов, подзаконных актов и локальных нормативных актов, издаваемых самой организацией.


    Персональные данные работников являются конфиденциальной информацией. На практике это означает, что доступ к ним должен быть строго ограничен, а те люди, которые все же имеют право работать с персональной информацией, должны выполнять все действия с ней только с согласия самого объекта персональных данных.


    2.Организация работы по обработке персональных данных.


    Организация работы в данном направлении предполагает несколько обязательных этапов:

    1. Разработка и издание локальных нормативных актов организации, определяющих круг лиц ответственных за обработку персональных данных и проведение мероприятий по обеспечению их готовности к исполнению данных должностных обязанностей.

    2. Разработка и утверждение локального нормативного акта, регламентирующего порядок получения и обработки персональных данных, с соблюдением всех предусмотренных законодательством условий.

    3. Проведение предварительных действий, перед началом обработки персональных данных, по исключению незаконного сбора и обработки этих данных.

    4. Получение от лица(лиц), ответственного за обработку персональных данных соглашения (обязательства) о неразглашении, что является единственным документом, подтверждающим исполнение организацией требования п.8 ч.1 ст.86 ТК РФ. В случае отсутствия данного соглашения, вся ответственность ложится на предприятие и лично на его руководителя.

    5. Разработка и утверждение политики в отношении обработки персональных данных. Каждый человек, чьи данные использует компания, должен иметь возможность ознакомиться с Политикой. Для этого её размещают в общедоступном месте.

    6. Организация технического обеспечения защиты персональных данных сотрудников:

    · Криптография и шифрование данных.

    · Создание отдельных серверов и каналов связи.

    · Уничтожение неактуальных материалов.

    · Экранировка помещений и устройств, для защиты от взлома.


    7. Публикация политики в отношении обработки персональных данных на своем сайте для государственных и муниципальных органов, а также компаний, которые собирают персональные данные через интернет (интернет-магазины, агентства недвижимости, турфирмы и т. д.).


    Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории этих данных были:

    · определены и организованы места их хранения;

    · установлен перечень лиц, осуществляющих обработку данных, либо имеющих к ним доступ;

    · обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

    · соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.




    3.Обработка персональных данных с использованием средств автоматизации и без использования таких средств.



    Согласно ст. 1 Федерального закона "О персональных данных" настоящим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без использования таких средств.

    При осуществлении работодателем(оператором) обработки персональных данных без использования средств автоматизации, в соответствии с Положением, утвержденным Постановлением Правительства РФ от 15 сентября 2008г. N687, лица, проводящие такую обработку (в том числе сотрудники организации-оператора или лица, работающие по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и локальными актами организации.

    При обработке персональных данных в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств в соответствии с Требованиями, утвержденными Постановлением Правительства РФ от 01.11.2012 N 1119, безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. В данном случае требование нормативных актов предусматривает проведение обработки персональных данных под контролем Роскомнадзора.


    4.Ответственность организации и должностных лиц за нарушение законодательства о персональных данных.


    Учитывая огромный ряд направлений, где в процессе деятельности работодатель может использовать и обрабатывать персональные данные своих работников риск нарушений законодательства очень велик.

    За нарушение порядка обращения с персональными данными для должностных лиц и организаций законодательством предусмотрена дисциплинарная, административная, гражданско правовая и уголовная ответственность.
     
  2. Profi1

    Profi1 Administrator Команда форума

    Дисциплинарная ответственность.

    Применяется к работнику допустившему разглашение персональных данных другого работника, если они стали известны ему в связи с исполнением трудовых обязанностей, и иные нарушения в области персональных данных при их обработке.

    Статья 81 Трудового кодекса предполагает увольнение с работы.

    Статьи 90 и 192 ТК - замечание, либо выговор.

    Административная ответственность.


    В КоАП предусмотрено три статьи данного вида нарушений, а с июля 2017 года ст.13.11 предусматривает вместо одного состава правонарушения - семь.

    Чаще всего встречаются нарушения такого рода:



    · Проведение обработки персональных данных не совместимой с основными целями их использования.

    · Отсутствие согласие субъекта на обработку его данных.

    · Отсутствие информирования субъектов о политике сбора и обработки предоставляемой ими информации.

    · Отказ в предоставлении субъекту информации об обработке его персональных данных.

    · Незаконное получение персональных данных.

    · Отказ в блокировке, удалении, уничтожении данных.

    · Несоблюдение требований по обезличиванию.






    Статьи 5.39; 13.11; 19.7 КоАП РФ, максимальный штраф составляет 75 тыс. руб.


    Уголовная ответственность.


    1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ.

    2. Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий.

    3. Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан.

    4. Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование.

    Статьи 137,140,272 Уголовного кодекса подразумевют максимальное наказание штраф до 300 тыс. руб., либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет).

    Гражданско правовая ответственность.

    1. Причинение лицу убытков в результате нарушения правил обработки его персональных данных. Под убытками при этом понимаются:

    · расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;

    · утрата или повреждение его имущества;

    · не полученные доходы, которые лицо получило бы, не будь его право нарушено.

    2. Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.


    Статья 15, 151 Гражданского кодекса;

    Статья 24 закона «О персональных данных».



    5. Информационные системы персональных данных и критическая информационная инфраструктура.



    Информационные системы персональных данных входят в состав критической информационной инфраструктуры РФ.

    С 1 января 2018 года определены понятия и введена ответственность за неправомерное воздействие на критическую информационную инфраструктуру.

    Федеральный закон от 26.07.2017 №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (вступил в силу с 01.01.2018) вводит уголовную, административную, гражданско-правовую и дисциплинарную ответственность за нарушение законодательства в области безопасности критической информационной инфраструктуры:
    1. За неправомерный доступ к охраняемой информации (с причинением вреда инфраструктуре) – штраф от одного до двух миллионов рублей или лишение свободы на срок до шести лет со штрафом от пятисот тысяч до одного миллиона рублей.

    2. За нарушение правил эксплуатации технических средств безопасности критической информационной инфраструктуры систем – принудительные работы на срок до пяти лет с лишением права занимать определенные должности на срок до трех лет, либо лишение свободы на срок до шести лет.

    3. Если совершение всех правонарушений повлекло тяжелые последствия или «создало угрозу их наступления» – оно наказывается лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности на срок до пяти лет.


    Уже сейчас Вы можете оценить ситуацию по работе с персональными данными у Вас в организации, начав с бесплатной проверки нашими специалистами наличия всей необходимой документации.

    Учитывая большое количество компаний имеющих потребность в проведении проверки, а так же большую загрузку наших специалистов, предлагаем Вам в кратчайший срок отправить заявку на бесплатную проверку на нашу почту consultant@businesshelp.su.

    Рад, если статья помогла вам систематизировать информацию по работе с персональными данными и хоть как то была полезна вам. Если остались вопросы звоните по телефону +7(863)237-43-67.


    С уважением,

    HR-консультант Шадрин Виталий Борисович
     
  3. Profi1

    Profi1 Administrator Команда форума

    Обработка персональных данных без использования средств автоматизации.



    Согласно ст. 1 Федерального закона "О персональных данных", регулирующего отношения, связанные с обработкой персональных данных, обработка этих данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.

    Обработка персональных данных, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются только с участием человека.

    В любой организации проводятся операции с обработкой персональных данных, такие как:

    ü Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в случаях, предусмотренных законодательством и Уставом организации.

    ü Организация кадрового учета на предприятии, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.

    ü Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.

    ü Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.

    ü Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

    Как правило, все эти операции исполняются не без помощи электронно-вычислительной техники, но результаты обработки хранятся и учитываются на различных материальных носителях.

    ВНИМАНИЕ! Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

    В данной статье мы как раз и рассмотрим особенности обработки персональных данных без использования средств автоматизации.


    1.Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации.

    2. Меры по обеспечению безопасности

    персональных данных при их обработке.


    1. Особенности организации

    обработки персональных данных, осуществляемой

    без использования средств автоматизации

    Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Постановление Правительства РФ от 15.09.2008 N 687 установлены ряд условий, которые должны соблюдаться при обработке данных таким способом.

    А именно:

    1. При обработке персональных данных, осуществляемой без использования средств автоматизации, они должны быть отделены от другой информации, т.е. занесены на отдельные материальные носители, либо помещены в специальные разделы, либо на поля форм (бланков).

    2. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для каждой категории персональных данных необходимо использоваться отдельный материальный носитель.

    3. Лица, назначенные ответственными за обработку персональных данных, должны быть проинформированы:

    · что обработка данных ведется ими без использования средств автоматизации;

    · о категориях, обрабатываемых в организации персональных данных;

    · об особенностях и правилах осуществления обработки персональных данных без использования средств автоматизации.
     
  4. Profi1

    Profi1 Administrator Команда форума

    4. При включении персональных данных в типовые формы документов, должны быть соблюдены следующие условия:



    · типовая форма или документы непосредственно с ней связанные (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения:



    a) о цели обработки персональных данных,

    b) имя (наименование) и адрес оператора (организации),

    c) фамилию, имя, отчество и адрес субъекта персональных данных (работника),

    d) источник получения персональных данных,

    e) сроки обработки персональных данных,

    f) перечень действий с персональными данными, которые будут совершаться в процессе их обработки,

    g) общее описание используемых оператором способов обработки персональных данных;



    · типовая форма должна предусматривать поле, для отметки работника о своем согласии на обработку персональных данных;

    · типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

    · типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.

    5. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, должны соблюдаться следующие условия:

    а) своим локальным нормативным актом оператор по обработке персональных данных должен предусмотреть необходимость ведения такого журнала (реестра, книги), в журнале должны содержаться сведения:

    · о цели обработки персональных данных,

    · способы фиксации и состав информации, запрашиваемой у субъектов персональных данных,

    · перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги),

    · сроки обработки персональных данных,

    · а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

    б) персональные данные посетителей могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

    ВНИМАНИЕ! Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается.

    6. В случае, когда материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на нем персональных данных, при условии несовместимости целей обработки этих данных, должны быть приняты меры по обеспечению раздельной обработки этих персональных данных, а именно:

    а) копирование персональных данных находящихся совместно с другими персональными данными на одном материальном носителе, осуществляется способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию;

    б) при необходимости уничтожения или блокирования персональных данных, находящихся совместно с другими персональными данными на одном материальном носителе уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

    7. Если используемый в ходе обработки персональных данных материальный носитель позволяет уничтожение или обезличивание части этих данных, то допускается их уничтожение, либо обезличивание способом, исключающим уничтожение, либо обезличивание других персональных данных, зафиксированных на этом материальном носителе.

    8. Уточнение персональных данных при осуществлении их обработки производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.



    2. Меры по обеспечению безопасности

    персональных данных при их обработке

    9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.

    10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

    11. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором своим локальным нормативным актом.



    Уже сейчас Вы можете оценить ситуацию по работе с персональными данными у Вас в организации, начав с бесплатной проверки нашими специалистами наличия всей необходимой документации.

    Учитывая большое количество компаний имеющих потребность в проведении проверки, а так же большую загрузку наших специалистов, предлагаем Вам в кратчайший срок отправить заявку на бесплатную проверку на нашу почту consultant@businesshelp.su.

    Рад, если эта статья помогла вам узнать что-то новое об организации работы с персональными данными, и была вам полезна.

    Если остались вопросы звоните по телефону +7(863)237-43-67.


    С уважением,

    HR-консультант Шадрин Виталий Борисович
     

Поделиться этой страницей