Защита персональных данных

Сегодня мы предлагаем статью на тему: "Защита персональных данных". Наши специалисты постарались полностью раскрыть тему доступным языком. Вопросы вы можете задать нашему дежурному юристу.

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.

Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».

Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Читайте так же:  Исполнительные органы государственной власти: функции, полномочия

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.

Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

  • Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
  • Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
  • Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
  • Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
  • Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
  • В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.
Читайте так же:  Как обратиться с жалобой на следователя?

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

UPD: Актуальная информация в свежей статье: habr.com/ru/company/ic-dv/blog/451708

Комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений (личных, персональных), относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита личных, персональных данных

Защита персональны данных, моментов личной жизни, а так же различные истории граждан в России сводятся к 3 (трем) ключевых направления:
  1. В рамках трудовых отношений
  2. В рамках оказываемых услуг (связь, банки и т.д.)
  3. В сети интернет

Существует два подхода

За рубежом сложились два основных подхода к определению персональных данных:

  • В некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
  • В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.
  • В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

Нас больше волнует самая живая проблема, это интернет. Об этом и пойдет речь.

Сегодня сеть Интернет содержит массу необходимых и ценных данных, с одной стороны, но с другой — настоящий склад личной информации, которая является конфиденциальной. Граждане России, имевшие неосторожность указать свой мобильный телефон или адрес электронной почты в графе персональных данных при заполнении различных бланков, карточек и анкет в сети интернет, часто сталкиваются со спамом, засоряющим электронный ящик.

Конституция Российской Федерации содержит понятие правового режима информации о гражданине, в том числе персональных данных и ее защиты.
  • Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
  • Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
  • Ограничение этого права допускается только на основании судебного решения, а также сбор, хранение, использование и распространение информации о частной жизни без его согласия не допускаются.

Что такое личная информация

Личная информация — это ваши имя и фамилия, паспортные данные (номер, серия, копия паспорта), пароли для доступа к различным сервисам и электронным кошелькам. Также личной информацией стоит считать:

  • номер вашего телефона,
  • номера телефонов ваших родственников,
  • ваш домашний адрес,
  • ваш возраст и дату рождения,
  • ваше место работы — если вы работаете, и номер школы и класса — если вы учитесь,
  • любые другие данные, с помощью которых можно разыскать вас или ваших родственников.
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

Что такое персональные данные

  1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  2. Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории. 

Закон предусматривает, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков или компенсации морального вреда, могут предъявляться в суд по месту жительства истца. Закон устанавливает обязательность согласия субъекта персональных данных на их дальнейшую обработку.

Вы сами выбираете, какую информацию о себе сообщить.

В интернете никто не может заставить вас предъявить паспорт или назвать настоящую фамилию. Некоторым сайтам (например, интернет-магазинам) необходимо знать о вас правду, но стоит ли раскрывать свои данные — всегда решаете вы. Если вы сомневаетесь в том, что какому-либо сайту можно доверить вашу личную информацию, — лучше не доверяйте.

Защита в России осуществляется Роскомнадзором (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций), в соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228.

Каждый сайт в сети интернет собирающий любыми способами данные пользователей заходящих на сайт обязан до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Подробнее о защите персональных данных пользователей и с целью соблюдения законы и избежания ответственности, можно ознакомиться в нашей данной статьей.

Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. Руководствуясь положениям п. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Проверить наличие сайта в базе можно по ссылке Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации.[1]

Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных.

Данные в таргетированной рекламе

В настоящее время многие рекламные компании используют таргетированную (от англ. target- цель) рекламу, которая позволяет накапливать данные о пользователях, которым получение тех или иных сообщений наиболее релевантно.

Подобный механизм подразумевает особый набор персональных данных, а именно cookie- файлов. Cookie это небольшой файл, как правило, из букв и цифр, который загружается на устройство, когда пользователь посещает определенные веб-сайты. Данные cookie затем отправляются обратно на веб-сайт и отображаются при каждом последующем визите автора. Информация, содержащаяся в cookie имеет ценность, потому что она позволяет признать устройство пользователя, заходящего на сайт и использовать его личные данные.

Использование сookie

Использование сookie и подобных технологий в течение некоторого времени было обыденной процедурой, в частности в предоставлении многих онлайн-сервисов.

Однако, в последнее время остро стоит вопрос о защите персональной информации в сети Интернет, что заставляет обратить внимание на использование cookie-файлов. Законодательство Российской Федерации пока не содержит положений, которые могли бы отразить, как действовать оператору и пользователю при использовании cookie-файлов.  Если обратиться к международному опыту регулирования обработки персональных данных, то  законодательств Евросоюза имеет ряд нормативных документов, закрепляющих положения о защите персональных данных. Согласно Директиве 2002/58/ЕС «О конфиденциальности и персональных средствах связи» операторы могли использовать персональные данные пользователей по средством cookie-файлов без предварительного одобрения, до тех пор, пока пользователь не заявит о своем отказе от сбора его персональных данных.

Нормы, закрепленные в Директивах Евросоюза о персональных данных формально не регулируют отношения по защите персональных данных в РФ, но трансграничный характер использования информации в сети Интернет порождают вопросы использования данных норм российскими вебсайтами.

Читайте так же:  Порядок замены водительских прав

Необходимо ли в таком случае придерживаться правил, установленных Директивами ЕС не понятно. Практика на данный момент не дает ответа на этот вопрос.

Zugriff

Zugriff auf Ihre Daten, dort, wo sie sich befinden. Und dann, wenn Sie sie brauchen.

  • Überblick
  • Warum SAS?
  • Ähnliche Lösungen
  • Kaufoptionen

Um DSGVO-Compliance zu gewährleisten, müssen Sie zunächst einmal überhaupt in der Lage sein, Ihre Daten zu lokalisieren und sicher auf sie zuzugreifen. Mit SAS können Sie …

  • … eine einzige Schnittstelle verwenden, um auf Ihre Daten zuzugreifen und sie zu verwalten. Lokalisieren Sie Daten in verschiedenen Systemen und Netzwerken, identifizieren Sie personenbezogene Daten und beginnen Sie, die verschiedenen Typen von Daten, die Sie haben, zu kategorisieren – und all das von einer einheitlichen Umgebung aus.
  • … unstrukturierte Daten und Big Data integrieren. Mischen und analysieren Sie Daten aus vielen verschiedenen Dateitypen, u. a. Daten aus unstrukturierten oder schlecht strukturierten Formaten wie Social Media und Blogs.
  • … auf Audit-, Überwachungs- und Risikoberichte zugreifen. Sie können nicht nur mühelos auf personenbezogene Daten zugreifen, sondern erhalten auch Berichte über diese Daten.
  • Integriertes Datenmanagement. Datenqualität, Stammdatenmanagement, Data Governance und zentralisiertes Security Management – das sind Technologien, die Ihnen über die SAS Personal Data Protection Lösung zur Verfügung stehen und Ihnen helfen, sicher auf Daten zuzugreifen.
  • Virtueller nutzerbasierter Datenzugriff. Legen Sie rollenbasierte Berechtigungen für den Datenzugriff fest, damit Ihre Daten genauso sicher wie leicht verfügbar sind.
  • Greifen Sie auf jede beliebige Datenquelle zu – jederzeit und überall. Ganz gleich, wo oder wie Ihre Daten gespeichert sind: Sie können schnell und sicher darauf zugreifen.
  • SAS® Data Management
    Eine branchenführende Lösung, die auf einer Datenqualitätsplattform basiert, mit der Sie Ihre Daten verbessern, integrieren und verwalten können.
  • SAS® Federation Server
    Mit Data-Virtualization-Werkzeugen können Sie Ihre Daten auf sichere, geschäftsorientierte Weise virtuell einsehen, ohne sie zu verschieben.

Sind Sie bereit, den nächsten Schritt zu unternehmen, den bestmöglichen Wert aus Ihren Daten zu schöpfen? Wir bieten Ihnen je nach Bedarf verschiedene Technologie-, Bereitstellungs- und Finanzierungsmöglichkeiten.

Preis- und Bestellinformationen finden Sie in unseren Kaufoptionen.

Oder lassen Sie sich ein persönliches Angebot erstellen.

Видео (кликните для воспроизведения).

Защита персональных данных 5

Identifizieren

Nutzen Sie unsere vorgefertigten „out-of-the-box“ Regeln, um nach personenbezogenen Daten zu suchen und sie zu identifizieren.

  • Überblick
  • Warum SAS?
  • Ähnliche Lösungen
  • Kaufoptionen

Bevor Sie mit dem Schutz personenbezogener Daten beginnen können, müssen Sie zunächst wissen, wo sie sich befinden und ob sich diese Daten als personenbezogene Informationen kategorisieren lassen. Mit SAS können Sie …

  • … Datenquellen identifizieren, die personenbezogene Daten enthalten. Mit Werkzeugen wie Identifikationsanalyse, Standardisierung und Mustervergleich können Sie Quellen mit sensiblen Informationen ganz einfach identifizieren.
  • … Daten analysieren und die Notwendigkeit ihrer Anonymisierung bewerten. Durch Untersuchung von Datenattributen, Mustern und Zusammenhängen können Sie herausfinden, ob Daten sensibel sind und anonymisiert werden sollen.
  • … Risiken bewerten. Nach der Datenanalyse können Sie das Risiko der Identifizierung personenbezogener Informationen bewerten und minimieren.
  • Vorgefertigte Logiken und Regeln. Ihre IT-Abteilung kann effizienter arbeiten und zeitaufwendige Programmiervorgänge vermeiden, indem sie tausende bereits vorgefertigte Logiken und Regeln zur Identifizierung sensibler Daten nutzt.
  • Integriertes Datenmanagement. Datenqualität, Data Governance und zentralisiertes Security Management – das sind Technologien, die Ihnen über die SAS Personal Data Protection Lösung zur Verfügung stehen und die sich an Ihren speziellen Bedürfnissen orientieren.
  • Einfach zu verwenden. Die Lösungen von SAS zum Schutz personenbezogener Daten sind für die Fachabteilung und auch für die IT besonders benutzerfreundlich.
  • SAS® Datenqualität
    Verbessern Sie den Wert Ihrer Daten und pflegen Sie qualitativ hochwertige Daten, damit sie Ihren täglichen Geschäftsabläufen und Analyse-Initiativen zugutekommen.
  • SAS® Federation Server
    Mit Data-Virtualization-Werkzeugen können Sie Ihre Daten auf sichere, geschäftsorientierte Weise virtuell einsehen, ohne sie zu verschieben.
  • SAS® Visual Analytics
    Die Datenvisualisierungs-Technologie von SAS hilft Ihnen, Ihre Daten aus einer einzigen, leistungsstarken In-Memory-Umgebung heraus zu durchsuchen und zu verstehen.

Sind Sie bereit, den nächsten Schritt zu unternehmen, den bestmöglichen Wert aus Ihren Daten zu schöpfen? Wir bieten Ihnen je nach Bedarf verschiedene Technologie-, Bereitstellungs- und Finanzierungsmöglichkeiten.

Preis- und Bestellinformationen finden Sie in unseren Kaufoptionen.

Oder lassen Sie sich ein persönliches Angebot erstellen.

Защита персональных данных 77

Governance

Einrichtung und Überwachung von Regeln und Richtlinien in Ihrem Unternehmen.

  • Überblick
  • Warum SAS?
  • Ähnliche Lösungen
  • Kaufoptionen

Ein erfolgreiches Programm zum Schutz personenbezogener Daten setzt voraus, dass alle an einem Strang ziehen, wenn es darum geht, personenbezogene Daten zu definieren, zu entscheiden, wer darauf zugreifen kann, und zu bestimmen, wie sie verwaltet werden. Mit SAS können Sie …

  • … Bedingungen für personenbezogene Daten definieren. Bevor Sie sie schützen können, müssen Sie zunächst bestimmen, was personenbezogene Daten überhaupt sind. SAS hilft Ihnen, den Begriff zu definieren, damit Fachabteilung und IT einfacher zusammenarbeiten können.
  • … sich einen Gesamtüberblick verschaffen. Erlangen Sie einen vollständigen Überblick über die personenbezogenen Daten in Ihrem Unternehmen und verlinken Sie Systeme, Prozesse und Verantwortliche in Ihren Datenströmen.
  • … hochwertige Daten pflegen. Um Compliance-Standards zu erfüllen, müssen Ihre Daten korrekt, vollständig und einheitlich sein. SAS bettet in ihre Lösung die Datenqualität gleich mit ein; so sorgen Sie von vornherein für ein hohes Maß an Datenintegrität.
  • Erfahrung und Kompetenz. SAS bietet nicht nur erstklassige Technologie, wir haben auch Experten, die sich mit dieser Technologie besser auskennen als jeder andere. Wir helfen Ihnen, Prozesse zu etablieren und auf eine Weise zu arbeiten, die Ihrem Unternehmen zugutekommt.
  • Business-Glossar. Wenn alle mit einem einheitlichen Glossar arbeiten, ist es einfacher, Standarddefinitionen zu etablieren, den Workflow zu integrieren, auf Probleme hinzuweisen und die Zusammenarbeit zwischen einzelnen Teammitgliedern zu verbessern.
  • Eingebaute Dokumentation, Überwachung und Validierung. Messen Sie Ihren Erfolg, überwachen Sie alle Fortschritte und behalten Sie Trends im Auge. So wissen Sie jederzeit, ob Sie Ihre Ziele erreichen oder ob Richtlinien eingehalten werden – und bei Bedarf können Sie Änderungen vornehmen.
  • SAS® Data Governance
    Legen Sie Richtlinien fest, setzen Sie durch, dass sie eingehalten werden, und sorgen Sie für eine einheitliche Sicht auf Ihre Daten – ohne Mikromanagement.
  • SAS® Data Management
    Eine branchenführende Lösung, die auf einer Datenqualitätsplattform basiert, mit der Sie Ihre Daten verbessern, integrieren und verwalten können.

Sind Sie bereit, den nächsten Schritt zu unternehmen, den bestmöglichen Wert aus Ihren Daten zu schöpfen? Wir bieten Ihnen je nach Bedarf verschiedene Technologie-, Bereitstellungs- und Finanzierungsmöglichkeiten.

Preis- und Bestellinformationen finden Sie in unseren Kaufoptionen.

Oder lassen Sie sich ein persönliches Angebot erstellen.

Защита персональных данных 102

Schutz

Befriedigen Sie den Wunsch Ihrer Kunden nach Schutz ihrer personenbezogenen Daten. Verbessern Sie Ihre Compliance.

  • Überblick
  • Warum SAS?
  • Ähnliche Lösungen
  • Kaufoptionen
Unser Ansatz zum Datenschutz umfasst Authentifizierung, Autorisierung, Security, Auditierung und die Überwachung von Nutzern, die auf personenbezogene Daten zugreifen. Sie können Ihre Daten so sicher wie noch nie analysieren, prognostizieren, abfragen und dokumentieren. Mit SAS können Sie …
  • … Schutzmaßnahmen einführen. Seien Sie stets im Bilde, wer auf personenbezogene Daten zugreift, und stellen Sie sicher, dass dies nur diejenigen können, deren Aufgabe es ist.
  • … Maßnahmen zum Schutz der Privatsphäre anwenden. Möglichkeiten wie Pseudonymisierung, Anonymisierung und Verschlüsselung helfen Ihnen, die Privatsphäre zu schützen, wann und wo dies besonders wichtig ist.
  • … dafür sorgen, dass nur auf relevante Daten zugegriffen werden kann. Kontrollieren Sie, welche Daten für bestimmte Benutzer verfügbar sind, damit nur die jeweils notwendigen Daten abgerufen werden können.
  • Integriertes Datenmanagement. Datenqualität, Data Governance und zentralisiertes Security Management – das sind Technologien, die Ihnen über die SAS Personal Data Protection Lösung zur Verfügung stehen und die sich an Ihren speziellen Bedürfnissen orientieren.
  • Virtueller nutzerbasierter Datenzugriff. Legen Sie rollenbasierte Berechtigungen für den Datenzugriff fest, damit Ihre Daten genauso sicher wie leicht verfügbar sind.
  • Greifen Sie auf jede beliebige Datenquelle zu – jederzeit und überall. Ganz gleich, wo oder wie Ihre Daten gespeichert sind: Sie können schnell und sicher darauf zugreifen.
  • SAS® Data Management
    Eine branchenführende Lösung, die auf einer Datenqualitätsplattform basiert, mit der Sie Ihre Daten verbessern, integrieren und verwalten können.
  • SAS® Federation Server
    Mit Data-Virtualization-Werkzeugen können Sie Ihre Daten auf sichere, geschäftsorientierte Weise virtuell einsehen, ohne sie zu verschieben.
Читайте так же:  Легкие телесные повреждения

Sind Sie bereit, den nächsten Schritt zu unternehmen, den bestmöglichen Wert aus Ihren Daten zu schöpfen? Wir bieten Ihnen je nach Bedarf verschiedene Technologie-, Bereitstellungs- und Finanzierungsmöglichkeiten.

Preis- und Bestellinformationen finden Sie in unseren Kaufoptionen.

Oder lassen Sie sich ein persönliches Angebot erstellen.

Защита персональных данных 76

Auditierung

Bleiben Sie auf dem Laufenden, ob Sie die Compliance-Standards erfüllen. Erstellen Sie Berichte, die dies belegen.

  • Überblick
  • Warum SAS?
  • Ähnliche Lösungen
  • Kaufoptionen

Wenn Sie genau über Ihre Daten Bescheid wissen, ist es einfacher, Verordnungen wie die DSGVO einzuhalten – und drohende Strafzahlungen zu vermeiden. SAS hilft Ihnen, Informationen zu auditieren und Berichte zu erstellen, die Sie auch an die Behörden weitergeben können, um zu beweisen, dass Sie die geltenden Datenschutzstandards erfüllen. Mit SAS können Sie …

  • … die Nutzung personenbezogener Daten protokollieren und überwachen. Wissen Sie stets, wer auf personenbezogene Daten zugegriffen hat, und dokumentieren Sie diese Zugriffe.
  • … die Datenverwendung auditieren. Identifizieren Sie schnell relevante Probleme durch detaillierte Audits; so können Sie diese Probleme ansprechen und lösen, und Sie können nachweisen, dass Sie die Datenschutzvorgaben einhalten.
  • … Berichte erstellen. Mit einer zentralen und flexiblen Berichterstattung ist es ganz einfach, Prozesse zu dokumentieren und zu beweisen, dass personenbezogene Daten bei Ihnen nicht gefährdet sind.
  • Mögliche Datenschutzverletzungen lassen sich schnell identifizieren. Lokalisieren Sie Probleme, damit Sie sie schnell lösen – und belegen können, dass Sie die gesetzlichen Vorschriften einhalten.
  • Relevante Metriken. Mit SAS können Sie leicht Korrelationen erkennen und Ausnahmen identifizieren, ohne Modelle bauen zu müssen.
  • Einfach zu verwenden. Benutzer mit einer Vielzahl von Kompetenzniveaus können Ergebnisse erstellen, untersuchen und teilen; so wird es für ganze Teams einfacher, den Datenschutz- und Compliance-Zielen Ihres Unternehmens zu entsprechen.
  • SAS® Visual Analytics
    Data visualization technology from SAS helps you explore and understand your data from a single, powerful in-memory environment.
  • SAS® Enterprise GRC
    Strengthen governance and foster trust by aligning GRC principles with business objectives and strategy execution.

Защита персональных данных 86


Согласно ст. 23 Конституции РФ каждый имеет право на не­прикосновенность частной жизни, личную, семейную тайну, за­щиту своей чести и доброго имени. Реализация данного права обеспечивается положением ст. 24 Конституции, устанавливаю­щим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускают­ся. Всеобщая декларация прав человека (ст. 12) провозглашает, что никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательст­вам на неприкосновенность его жилища, тайну его корреспон­денции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких по­сягательств. Аналогичное правило содержится в Международ­ном пакте о гражданских и политических правах (ст. 17).

Нормы, регламентирующие порядок защиты персональных данных работника, впервые появились в отечественном трудовом законодательстве только с принятием Трудового кодекса РФ. Они содержатся в гл. 14 ТК РФ, входящей в раздел «Трудовой до­говор». Включение в Кодекс понятия «персональные данные ра­ботника» обусловлено необходимостью упорядочения отноше­ний по получению и использованию работодателем информации о работнике личного характера, формирования четких правил защиты данной информации от ее неправомерного использования.

1. Понятие персональных данных работника, общие требования при обработке персональных данных и гарантии их защиты

Согласно ст. 85 ТК РФ под персональными данными работни­ка понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работ­ника.

Указанное определение основано на положениях Конвен­ции Совета Европы «О защите физических лиц при автомати­зированной обработке персональных данных» от 28 января 1981 г.1, в ст. 2 которой под «персональными данными» пони­мается информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»2 (далее — Закон о персональных данных) определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). При этом под информацией, согласно Федеральному за­кону от 27 июля 2006 г. № 149-ФЗ «Об информации, информаци­онных технологиях и защите информации»1, понимаются любые сведения (сообщения, данные) независимо от формы их пред­ставления.

Персональные данные работников могут быть двух видов: данные, представляющие собой факты, не подлежащие субъективной оценке (например, специальность работника, приобретенная им по окончании учебного заведения); данные оценочного характера, которые могут, в частности, содержаться в характеристике работника, заключении аттестационной комиссии и т. п.

Все сведения, составляющие информацию о работнике, по срокам их получения и нахождения у работодателя могут быть подразделены на три группы:

а) сведения, представляемые работником при приеме на работу;

б) сведения, создаваемые и получаемые работодателем в период трудовой деятельности работника;

в) сведения о работнике, хранящиеся у работодателя после прекращения с ним трудовых отношений.

Под обработкой персональных данных Конвенция от 28 янва­ря 1981 г. понимает накопление данных, проведение логиче­ских и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Статья 85 ТК РФ в принципе аналогично определяет понятие обработки персональных данных работника — как получение, хранение, комбинирование, передача или любое другое исполь­зование персональных данных работника’.

Как видно, законодатель определил четыре формы обработ­ки персональных данных в сфере трудовых отношений — полу­чение, хранение, использование и передача.

Персональные данные работников, т. е. та информация, ко­торой обладает работодатель, как в условиях ее ручной обра­ботки, так и в случае использования автоматизированных ин­формационных систем может стать в определенной мере от­крытой и привести к ущемлению их интересов и прав, причинить моральный вред и материальный ущерб. В связи с этим в ТК РФ закрепляются принципы, лежащие в основе об­работки персональных данных работника, положения о поряд­ке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об от­ветственности лиц за невыполнение требований норм, регули­рующих обработку и защиту персональных данных работника.

В соответствии со ст. 7 Закона о персональных данных и п. 1 Перечня сведений конфиденциального характера, утвер­жденного Указом Президента РФ от 6 марта 1997 г. № 188′, персональные данные работника как сведения о фактах, собы­тиях и обстоятельствах частной жизни гражданина, позволяю­щие идентифицировать его личность, относятся к числу сведе­ний конфиденциального характера. Такой правовой режим пер­сональных данных работника предполагает особый порядок работы с указанными данными и особый режим их охраны.

Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» предъ­являет достаточно жесткие требования к работе с персональны­ми данными. Персональные данные должны: быть получены и обработаны добросовестным и законным образом; накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями; быть адекватными, относящимися к делу и не быть избы­точными применительно к целям, для которых они накаплива­ются; быть точными и при необходимости обновляться; храниться в такой форме, которая позволяет идентифициро­вать субъектов данных не дольше, чем этого требует цель, для которой они накапливаются.

Основные принципы обработки персональных данных в Россий­ской Федерации соответствуют требованиям указанной Кон­венции и содержатся в ст. 5 Закона о персональных данных. К ним относятся: законность целей и способов обработки персональных данных; соответствие целей обработки данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; соответствие объема и характера обрабатываемых персональных данных и способов их обработки целям обработки персональных данных; достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Кроме того, установлено, что обработка персональных дан­ных может осуществляться оператором только с согласия субъ­ектов персональных данных, за исключением случаев, преду­смотренных ч. 2 ст. 6 указанного Закона.
В ст. 86 ТК РФ содержатся следующие требования к россий­ским работодателям и их представителям, направленные на обеспечение прав и свобод человека и гражданина при обра­ботке персональных данных работника.

1. Обработка персональных данных работника может осуще­ствляться исключительно в целях: обеспечения соблюдения законов и иных нормативных пра­вовых актов; содействия работникам в трудоустройстве, обучении и про­движении по службе; обеспечения личной безопасности работников; под оператором понимается государственный орган, муници­пальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также опре­деляющее цели и содержание обработки персональных данных. Следо­вательно, любой работодатель является оператором персональных дан­ных своих работников контроля количества и качества выполняемой работы; обеспечения сохранности имущества.

Читайте так же:  Федеральная инспекция труда (гит)

2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руковод­ствоваться Конституцией РФ, Трудовым кодексом и иными федеральными законами.

Так, согласно ст. 65 ТК РФ при приеме на работу работодатель получает о работнике следующую информацию: о трудовом стаже, подтверждаемом трудовой книжкой; о регистрации работника в системе обязательного пенсион­ного страхования, подтверждаемую соответствующим страхо­вым свидетельством; о состоянии работника на воинском учете, подтверждаемую документами воинскою учета; об образовании, квалификации работника, наличии у него специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); о возрасте работника, дате и месте его рождения, месте регистрации, подтверждаемую паспортом или иным документом, удостоверяющим личность; о наличии или отсутствии у работника семейных обязанно­стей, что подтверждается паспортом.

Перечень стандартизированных персональных данных работ­ника, получаемых от него работодателем, можно также опреде­лить на основании постановления Госкомстата РФ от 5 января 2004 г. № 1, которым, в частности, утверждена форма личной карточки работника. К сведениям, содержащимся в карточке, кроме перечисленных выше относятся данные о знании ино­странного языка, иных ближайших родственниках (кроме супру­га и детей), фактическом адресе места жительства, номере до­машнего телефона. Но поскольку получение указанной инфор­мации не предусмотрено федеральным законом, отказ работника от ее предоставления не может повлечь для него неблагоприят­ных последствий.

В силу своих обязанностей налогового агента работника (ст. 24 Налогового кодекса РФ) работодатель также должен иметь информацию об идентификационном номере налогопла­тельщика — физического лица (если такой номер имеется), а также информацию, на основании которой производятся нало­говые вычеты (инициативу в ее предоставлении, как правило, проявляет сам работник).

В отдельных случаях, установленных федеральными закона­ми, работодатель может получать информацию о состоянии здоровья работника путем проведения медицинского освиде­тельствования при заключении трудового договора, периодиче­ских и внеочередных медицинских осмотров (ст. 213 ТК РФ), и информацию о дактилоскопической регистрации работников.

3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предпо­лагаемых источниках и способах получения персональных дан­ных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное со­гласие на их получение.

Извещение работника о предполагаемом получении его пер­сональных данных у иного лица обычно осуществляется в фор­ме соответствующего уведомления, предъявляемого работнику под расписку. При отказе работника составляется акт.[2]

4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Информация о религиозных убеждениях работника может иметь крайне существенное значение при заключении работни­ком трудового договора с религиозной организацией, если его трудовая функция предполагает участие в совершении религи­озных обрядов.

Данные о частной жизни предоставляются непосредственно работником в целях реализации его трудовых прав и интересов. К информации о частной жизни относятся прежде всего дан­ные о семейных обязанностях работника, наличии или отсутст­вии детей, их возрасте.

5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Так, Трудовой кодекс обязывает работодателя перед уволь­нением работника, являющегося членом профсоюза, в опреде­ленных случаях испросить мотивированное мнение органа пер­вичной профсоюзной организации (ст. 82). Соответственно, Кодекс фактически обязывает работодателя собирать и обраба­тывать информацию о членстве работника в конкретном проф­союзе и о его профсоюзной деятельности, а профессиональный союз — предоставлять такую информацию по запросу работо­дателя.

6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Указанное правило введено в связи с тем, что базы данных, хранящиеся в электронном виде, в большей мере, чем инфор­мация, содержащаяся на бумажном носителе, доступны для не­правомерного внедрения и изменения или для корректировки, осуществляемой в результате сбоя в компьютерной программе.

7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ или иными федеральными законами.

Защита персональных данных, как и защита любой инфор­мации, согласно ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации», пред­ставляет собой принятие правовых, организационных и техни­ческих мер, направленных на: обеспечение защиты информации от неправомерного досту­па, уничтожения, модифицирования, блокирования, копирова­ния, предоставления, распространения, а также иных неправо­мерных действий; соблюдение конфиденциальности информации ограничен­ного доступа; предотвращение уфоз безопасности личности, общества, го­сударства; реализацию права на доступ к информации.

Защите подлежат любые персональные данные работника, неправомерное обращение с которыми может причинить ущерб как ему (собственнику информации), работодателю (владельцу информации), пользователю информацией, так и иному лицу.

Основные принципы защиты данных личного характера по­лучили закрепление в Конвенции Совета Европы 1981 г. «О за­щите физических лиц при автоматизированной обработке пер­сональных данных» и Кодексе практики по защите личных дан­ных о работнике, разработанном и одобренном МОТ в 1996 г.

8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В соответствии со ст. 87 ТК РФ порядок хранения и исполь­зования персональных данных работников устанавливается рабо­тодателем с соблюдением требований Трудового кодекса и иных федеральных законов. Персональные данные работника хранятся в документированной форме, характер которой также определяется работодателем. Стандартизированный перечень документации по учету труда и его оплаты установлен поста­новлением Госкомстата РФ от 5 января 2004 г. № 1. Докумен­ты, содержащие информацию о конкретном работнике, фор­мируют его личное дело. Сроки хранения персональных данных работников определяются на основании Перечня типовых управленческих документов, образующихся в деятельности ор­ганизаций, с указанием сроков хранения, утвержденного руко­водителем Федеральной архивной службы России 6 октября 2000 г.

Как полагают специалисты, работодатель должен разрабо­тать специальный локальный нормативный правовой акт, кото­рый должен включать: перечень сведений, относящихся к персональным данным работника по различным категориям должностей; порядок получения персональных данных у третьих лиц, включая последствия для работника в случае его отказа дать со­гласие на их получение; порядок обработки, хранения и использования персональ­ных данных с установлением индивидуальных обязанностей представителей работодателя и ответственности за их наруше­ние; права и обязанности работников на защиту своих персо­нальных данных; порядок ознакомления с актом всех работающих, а также вновь принятых на работу работников.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Отказ от указанных прав может нарушить неприкосновен­ность частной жизни работников, их личную и семейную тай­ну, причинить моральный и материальный ущерб.

10. Работодатели, работники и их представители должны со в местно вырабатывать меры защиты персональных данных работников.

В частности, представители работников могут участвовать в разработке локального нормативного акта, регламентирующего порядок хранения и использования персональных данных ра­ботников.
Видео (кликните для воспроизведения).

Источники:

  1. Финансы, денежное обращение и кредит. Учебник. — М.: Феникс, 2017. — 384 c.
  2. Деньги, кредит, банки. Краткий курс. — М.: Окей-книга, 2013. — 160 c.
  3. Ведихин, А. Forex от первого лица. Валютные рынки для начинающих и профессионалов / А. Ведихин. — М.: Омега-Л, 2015. — 428 c.
Защита персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here