Меню

Обработка персональных данных

0 комментариев

Как назначить ответственного за организацию обработки персональных данных

Закон требует, чтобы работу с данными людей в компании контролировал специальный сотрудник. Потребуется выбрать сотрудника или группу и возложить на них дополнительные обязанности. Кто должен отвечать за организацию обработки персональных данных и как именно закрепить эти правила, компании решают по-разному. Нужно опираться на положения законов и локальных нормативных актов:

  1. ТК РФ требует установить в организации порядок хранения и использования таких данных (ст. 87 ТК РФ).
  2. Нужно назначить лицо, ответственное за организацию обработки персональных данных, однако специальных требований к сотруднику нет (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Регламентируйте работу сотрудника, который возьмет на себя эти обязанности. Разработайте специальную должностную инструкцию. Определите в ней порядок действий на тот или иной случай. Как правило, она раскрывает процесс участия в разработке, изменениях, утверждении соответствующих документов. Внутренний документ возлагает на сотрудника ответственность за соблюдение законодательства, мониторинг изменений и требования по своевременному принятию мер. В инструкции также указывают:

  • порядок ее пересмотра и обновления;
  • ответственность лица, которое подчиняется установленным правилам;
  • ссылки на закон и акты компании.

Скачайте вариант должностной инструкции для ответственного за организацию обработки персональных данныхИнформация о файле

Кого можно назначить ответственным за организацию обработки персональных данных

Компания самостоятельно определяет, кто может быть ответственным за обработку персональных данных. Организация может назначить секретаря (постановление Тюменского областного суда от 14.11.2017 № 4А-598/2017). Чаще всего, такие обязанности берут на себя работники отдела кадров. Но можно поручить и другому сотруднику.

Сотрудник должен:

  • контролировать в организации соблюдение соответствующих законов, в том числе требований к защите такой информации;
  • доводить до сведения работников положения законодательства, локальных актов по вопросам обработки данных, требований к их защите;
  • организовывать прием и обработку обращений и запросов владельцев данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов (ст. 22.1 закона № 152-ФЗ).

Подробный перечень пропишите в инструкции.

О назначении ответственного за обработку персональных данных издают приказ

Когда сотрудника выберут, издают приказ. Документ готовит кадровый работник. Ознакомьте ответственного с таким приказом под роспись. В документе укажите:

  • правовые основания назначения (закон № 152-ФЗ, постановления Правительства РФ от 01.11.2012 № 1119, от 15.09.2008 № 687);
  • должность, ФИО назначаемого лица;
  • доплату к должностному окладу в связи с исполнением дополнительной обязанности.

Скачайте образец приказаИнформация о файле

Работодатель и сотрудник вправе подписать дополнительное соглашение к трудовому договору. Сотрудник может получать надбавку в размере установленного процента от оклада на обработку и хранение персональных данных и за неразглашение сведений, касающихся персональных данных работников предприятия.

Срок действия соответствующего соглашения нужно продлевать или заключать на срок действия договора, если не меняется ответственное лицо (апелляционное определение Кировского областного суда от 07.08.2012 по делу № 33-2502).

Если компания не назначила сотрудника и соответствующий приказ отсутствует, бремя ответственности и обязанности ложатся на руководителя организации (ст. 273 ТК РФ).

Правила охраны персональных данных закрепляют в отдельном локальном акте

Также потребуется разработать специальный акт. В том числе определить, что информация относится к конфиденциальной, например:

«Персональные данные работников являются конфиденциальной, строго охраняемой информацией, передача которой по телефону, факсу, электронной почте без согласия работника запрещается. Подписант настоящим обязуется не разглашать сведения конфиденциального характера».

Сотрудник, который подписал акт, не должен нарушать правила компании. В противном случае работодатель вправе привлечь его к дисциплинарной ответственности и уволить. Оспорить такие действия не удастся, если работодатель установит нарушение и оформит документы надлежащим образом.

Например, компания установила факт несанкционированного распространения данных сотрудников. Провели проверку. Выяснили, что сведения, которые хранятся в виде базы данных на внутреннем ресурсе компании, распространялись с конкретного компьютера. Данное оборудование организация закрепила за сотрудником, который в момент нарушения находился на рабочем месте. Непричастности к инциденту он не доказал. Работодатель объявил выговор за нарушение условий договора и внутренних актов, позже уволил нарушителя. Суд посчитал действия работодателя правомерными (апелляционное определение Московского городского суда от 28.08.2012 № 11-18794).

К ответственности за нарушение законодательства могут привлечь генерального директора, который не принял надлежащие меры к недопущению нарушений (ст. 2.4 КоАП РФ).

Так, в отношении руководителя прокурор вынес постановление о возбуждении дела об административном правонарушении. Выявили, что руководитель не соблюдает порядок сбора, хранения, использования данных. В личных делах в листе кандидата отсутствовало поле, в котором владелец данных мог бы поставить отметку о согласии на обработку. Такое оформление противоречит установленному порядку (п. б. ч. 7 раздела II постановления № 687). Ответчик объяснял это тем, что в договорах с работниками согласие есть, и указывал на малозначительность нарушения. Но суд счел, что директор не контролировал действия подчиненных должным образом (постановление Самарского областного суда от 22.08.2016 № 4а-907/2016).

Разрабатывать необходимые документы может комиссия из нескольких сотрудников разных профессий.

Например, в одном деле положение о персональных данных разрабатывала комиссия с участием главного врача, его заместителей, бухгалтера и профсоюзной организацией (апелляционное определение ВС Р Северная Осетия-Алания от 22.09.2015 по делу № 33-1084/2015).

Если не составить документы, не оформить приказ на ответственного за обработку персональных данных компании грозит ответственность (ст. 13.11 КоАП). Если не подготовить инструкции ответственного за организацию обработки персональных данных и другие сведения, в отношении компании проверяющие могут вынести предупреждение или наказание в виде штрафа (постановление Вологодского областного суда от 31.07.2017 № 4А-407/2017).

Законодательство

Основной закон, регулирующий права граждан — 152 ФЗ, «О персональных данных», который вступил в силу 27.07.2006, а изменения были внесены 01.09.2015 года. Согласно этой норме, для того, чтобы идентифицировать граждан, предприятия могут получать данные о нем, но они обязуются сохранять их.

Чаще всего, персональные данные запрашиваются у работника, при оформлении личного дела.

Данным федеральным законом установлены следующие положения:

  • принципы, на основании которых происходит обработка данных;
  • общие условия, которые должны соблюдаться;
  • правила сохранения конфиденциальности персональных данных;
  • получение согласия гражданина на обработку;
  • сведения о биометрических данных и их использовании.

В соответствие с законодательными нормами, операторы обязаны обеспечивать защиту информации, в том числе той, которая предоставляется через интернет.

Для того, чтобы приступить к обработке полученной информации, оператор обязан предоставить в Роскомнадзор уведомление, в котором он изъявляет о намерении начать такую обработку.

В этом уведомлении также должна содержаться информация о базе данных, в которой хранятся сведения о гражданине.

Виды

Прежде всего нужно знать, что относится к персональным данным физического лица:

Свободно обращаемые К таким данным можно отнести фамилию, имя и отчество гражданина. При определенных обстоятельствах к ним можно добавить номер телефона, возраст человека.
Ограниченно обращаемые К ним относятся номера основных документов, которые сообщаются субъектом по запросу. Так, чтобы получить потребительский кредит, человек должен сообщить сведения о своей работе, размере заработной платы и наличии движимого имущества.
Обращаемые только в специальных целях К данным видам данных относятся чаще всего биометрические, кроме того, это могут быть сведения об усыновлении ребенка. Сбор такой информации осуществляется государственными организациями, в установленном законом порядке.
Запрещенные к обороту Эти данные относятся к особой категории. За их передачу нарушителям грозит серьезная ответственность.

В соответствие с законом о защите прав граждан и сведений о них, в большинстве случаев, при сборе данных, требуется согласие самого гражданина – субъекта данных.

К персональным данным физического лица можно отнести:

  1. Фамилия, имя и отчество.
  2. Дата и место рождения.
  3. Номер СНИЛС.
  4. Фактическое место проживания.
  5. Паспортные данные.
  6. Льготы, положенные физическому лицу.

Существует и другой тип персональных данных, например тех, которые принадлежат работнику организации и предоставляются им при трудоустройстве:

  1. Сведения, указанные в паспорте.
  2. Данные о воинском учете.
  3. Номер СНИЛС.
  4. Полученное образование.
  5. Данные из договора о трудоустройстве.
  6. Заполненная анкета с личными данными гражданина.

В трудовом договоре содержится множество данных о человеке, поэтому этот документ должен храниться в недоступном месте.

Следует проявлять особую осторожность, пользуясь интернетом. Иногда лучший способ защитить сведения о себе – использовать обезличенные профили, не содержащие никакой личной информации.

Как составляется согласие на обработку

Составлять согласие следует по шаблону, либо в произвольной форме, но с соблюдением всех основных требований. Бланк можно скачать из интернета, или использовать тот, который был создан специально для конкретной организации.

При этом документ обязательно должен содержать следующие данные:

  1. Наименование компании, в которой осуществляется трудоустройство.
  2. Дата и место составления документа.
  3. ФИО работника, сведения о месте его проживания и паспортные данные.

После указания основных сведений во второй части документа следует перечислить следующую информацию:

  1. Какие именно персональные данные должны быть защищены.
  2. Каким образом допустимо их использование, в каких целях.
  3. Срок действия документа. Отдельно указывается возможность отзыва согласия, несмотря на то, что это изначально предусмотрен законодательством.

Отдельно в обязательном порядке должна быть сделана отметка о том, что документ был составлен и подписан без какого – либо принуждения со стороны, на добровольных условиях. Только после этого можно ставить подпись в месте, предназначенном для нее.

Образец согласия:

Скачать пустой бланк для заполнения можнопо ссылке.

Нюансы, которые нужно знать при составлении согласия:

  1. Получить заявление от владельца данных на обработку можно на сайте, в электронной форме, или же, в печатном виде – в виде договора – соглашения.
  2. Некоторые пользователи интернета ставят галочку в поле «согласие на обработку данных», не читая условия, и таким образом, дают право на использование данных, сами того не подозревая.
  3. Составляемое требование на предоставление информации должно быть максимально полным, информативным и содержательным.
  4. Проще всего воспользоваться готовым бланком, и вписать в документ все основные сведения.

Под действиями, которые выполняются с личной информацией, подразумевается следующее: сбор данных, систематизация и накопление, распространение, использование и извлечение.

Ответственность за разглашение

Наказание для лиц, нарушивших условиях сохранения данных предусмотрено статьей 137 Уголовного кодекса РФ. Оно касается тех случаев, когда данные были использованы без согласия того, кому они принадлежат.

Под распространением подразумевается передача сведений одному и более лицам. Не имеет значения, каким способом было совершено разглашение.

Виды наказаний:

  1. Штраф в размере до 200 000 рублей.
  2. Взыскание, которое устанавливается в соответствии с доходом, получаемым нарушителем, за последние 1,5 года.
  3. Исправительные работы на период до 12 месяцев, чаще всего – 180 часов.
  4. Арес на срок до четырех месяцев.

В случае, если нарушение было совершено человеком с использованием должностного положения, размер штрафа увеличивается до 300 000 рублей, либо назначается взыскание в размере заработной платы, получаемой за последние 2 года.

Кроме того, возможен запрет на трудоустройство по конкретной должности на срок до 5 лет. Срок ареста увеличивается до 6 месяцев.

Руководитель учреждения может получить административное или уголовное наказание. Согласно нормам законодательства, человек, разглашающий данные, осознает, что он делает. Ответственность по статье 137 УК РФ, наступает с 16 – летнего возраста.

По решению суда может быть назначена конкретная мера наказания и способ его осуществления, с учетом возникших последствий от разглашения данных, совершенных человеком действий. Кроме того, учитываются возможные обстоятельства смягчения вины, либо напротив, отягощения приговора.

Лицо, совершившее преступление, нарушает частные права другого гражданина, при этом имущественная сторона не затрагивается.

Потерпевший может подать отдельную жалобу, при удовлетворении которой будет взыскана определенная сумма за моральный ущерб.

Всегда необходимо помнить о том, что персональные данные относятся к тем сведениям о гражданах, которые защищаются законом. Лицо, которое допустило распространение информации, может быть привлечено к административной, уголовной ответственности.

Необходимо убедиться в том, что человек дал разрешение на использование своей информации, и только в конкретных целях. Любая несанкционированная передача данных считается нарушением.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

Обработка персональных данных в организации Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье

  • ФИО;
  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • ИНН;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;
  • СМИ.

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

2.2. Персональные данные в трудовом договоре

В действующий ТК РФ впервые в истории трудового законодательства включена отдельная глава (14) «Защита персональных данных работника», состоящая из шести статей (85–90). Статья 85 ТК РФ формулирует два основных для данной главы понятия: персональные данные работника; обработка персональных данных работника. Персональные данные – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных – получение, хранение, комбинирование, передача или любое другое использование персональных данных работников.

Структурное выделение в Трудовом кодексе РФ персональных данных вызвано необходимостью упорядочения отношений по получению и использованию работодателем информации о работнике личного характера и установления правил защиты этой информации от неправомерного использования. Положения данной главы основываются на Конституции РФ, согласно ст. 23 и 24 которой каждому человеку гарантируется право на неприкосновенность частной жизни, личную и семейную тайну, при этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Конституция РФ, в свою очередь, восприняла положения международных актов, согласно которым право на неприкосновенность частной жизни, личную тайну относятся к числу основных прав человека: Всеобщая декларация прав человека 1948 г. (ст. 12), Конвенция о защите прав человека и основных свобод (ст. 8), Международный пакт о гражданских и политических правах 1966 г. (ст. 9), Директива Европейского сообщества № 95/46/ЕС прямо определяет персональные данные как любую информацию, относящуюся к идентифицированному лицу или к лицу, которое может быть идентифицировано. Иными словами, указывается на «информацию об идентифицируемом лице», а не на «идентифицирующую информацию», как в российском Законе.

Следует обратить внимание на то, что определенные сведения о персональных данных работодатель имеет право требовать, а работник обязан их предоставить (ст. 65 ТК РФ; Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», которым утверждена форма Личной карточки работника). Иные сведения можно получить только с согласия работника, что нередко важно для него самого в целях реализации прав (в том числе на льготы) и интересов; например, о членстве в профсоюзе, инвалидности, беременности. Работодатель не имеет права запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Общие требования к обработке персональных данных и гарантии их защиты закреплены в ст. 86 ТК РФ. Согласно ст. 87 ТК РФ защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ или иными федеральными законами.

Порядок хранения и использования персональных данных работников устанавливается самим работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов.

Защита персональных данных предусмотрена законом как на стадии их получения (п. 8 ст. 86 ТК РФ), так и на стадии передачи (ст. 88 ТК РФ), хранения и использования (ст. 89 ТК РФ).

Работники, которым в установленном законом порядке переданы сведения о персональных данных работника, обязаны не допускать их разглашения. В случае нарушения этого правила, когда сведения, составляющие врачебную, семейную и другую тайну, становятся достоянием других лиц, виновные несут за это ответственность.

В советском трудовом законодательстве правовой регламентации подвергались отдельные аспекты защиты персональных данных работника. «Институт защиты персональных данных работника в ТК РФ был в значительной степени рецептирован из западного законодательства. Другой причиной, вызвавшей появление в ТК РФ гл. 14 «Защита персональных данных работника», стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина – обязанностью государства (ст. 2). «Этому способствовало и то, что с середины 90-х гг. XX в., как уже отмечалось, начала формироваться комплексная отрасль законодательства «информационное право», одним из основных направлений которой стала защита персональной тайны». Действующий Трудовой кодекс, как считают некоторые авторы, «с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не содержит и запрет работодателю тотально «мониторить» работника».

К числу нормативных актов, входящих в правовую базу регламентации отношений по защите персональных данных работника, относятся также Федеральный закон РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», Налоговый кодекс РФ (ст. 24), Федеральный закон РФ от 27 июля 2006 г. «О персональных данных», Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г., и другие нормативные правовые акты, касающиеся отдельных категорий работников, например, Федеральный закон о государственной гражданской службе Российской Федерации от 27 июля 2004 г.

Между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, о которых говорилось выше, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность представить такую информацию, которая должна быть полной и достоверной. Согласно ТК РФ (ст. 86) порядок обработки персональных данных, а также права и обязанности работников регламентируются локальными нормативными актами. Развивая эту мысль, выскажем следующие соображения.

Действительно, с развитием соответствующего законодательства отношения в сфере конфиденциальной информации все более приобретают некий обособленный, самостоятельный и, как представляется, межотраслевой характер. Имея в виду, прежде всего и главным образом, трудовое право, нельзя не заметить, что применительно к его сложному и неоднородному предмету, эти так называемые информационные отношения могут входить в состав как индивидуального трудового правоотношения (уместно вспомнить характерное название ст. 5 Закона «Об информации…»: «Информация как объект правовых отношений»), так и, очевидно, быть самостоятельным видом отношений, связанных с ним. Информационное отношение «встроено» в трудовое как его элементарная часть, потому что между работником и работодателем существуют как отношения по персональным данным работника, так и отношения, связанные с государственной, служебной, коммерческой тайной, которые могут составлять основное содержание трудовой функции. Что касается информационных отношений как самостоятельного вида отношений, связанных с трудовыми (наряду с отношениями по трудоустройству у данного работодателя, социальному партнерству и др.), то в пользу такой идеи говорит элементарный анализ состава этого правоотношения.

На уровне Федерального закона «О персональных данных» и в целях его применения впервые в отечественной практике определены следующие основные понятия:

– персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

– обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

– распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

– использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

– информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Федеральным законом «О персональных данных» регулируются отношения, связанные с их обработкой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Права граждан в области информации защищены Федеральными законами: ст. 81 ТК РФ, 237 УК РФ, 495, 498, 726, 732, 774, 804, 840, 853, 1031, 1032 и другими ГК РФ, регламентирующими вопросы предоставления различной информации покупателю о товаре. Кроме вопросов предоставления информации, ГК РФ регулирует отношения, связанные с конфиденциальностью информации, отношения по поводу возмещения вреда, причиненного вследствие недостоверной или недостаточной информации о товаре (работе, услуге) в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях и возмещением убытков, вызванных разглашением служебной или коммерческой тайны.

Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», как выше уже говорилось, к основным обязанностям гражданского служащего отнесено требование не разглашать сведения, составляющие государственную или иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (ст. 15).

Квалификационный справочник должностей руководителей, специалистов и других служащих (КСДС), разработанный Институтом труда и утвержденный постановлением Минтруда РФ от 21 августа 1998 г. № 37 (действующий с дополнениями и изменениями в ред. от 14.03.2011), предусматривает, во-первых, что этот нормативный акт предназначен для решения вопросов, связанных с регулированием трудовых отношений, обеспечением эффективной системы управления персоналом организаций независимо от форм собственности и организационно-правовых форм деятельности. Во-вторых, предусмотрена регламентация трудовых функций специалистов, непосредственно связанных с использованием персональных данных работников или выполнением работ на их основе. К таким должностям относятся: заместитель директора по управлению персоналом, начальник отдела кадров, менеджер по персоналу, главный специалист по защите информации и др. Данные положения имеют значение для рассматриваемого вопроса, поскольку права и обязанности по сохранению конфиденциальной информации могут входить в содержание трудовой функции.

Обработка персональных данных должна осуществляться на основе принципов:

– законности целей и способов обработки персональных данных и добросовестности;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– недопустимости объединения созданных для несовместимых между собой баз данных информации.

Поделитесь на страничке

Следующая глава >

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *