Что является специальной категорией пдн мтс. Персональные данные. Законодательство в области защиты персональных данных

Бизнес юрист > Гражданское право > Специальные категории персональных данных и кто может запрашивать к ним доступ

В повседневной деятельности человека возникают ситуации, когда ему требуется предоставить данные о себе. Важно, если субъект просит получения доступа к ним, разрешить обработку может только их владелец, помимо отдельных моментов, прописанных в законе.

Содержание

Общее понятие

Это сведения, относящиеся к физическому лицу, которые идентифицируют его на этом основании.

Персональные данные

Для определения личности человека достаточно одного или нескольких сведений, персональные данные (ПД) имеют конфиденциальный характер, и при обработке оператором это требование обязано соблюдаться.

В качестве оператора могут выступать органы государственной и муниципальной власти, организации и даже обычные люди. Например, при создании сайта, для регистрации требуется введение какой-то запрашиваемой информации: номера телефона, имени или почтовый адрес. Владелец этого ресурса получает к ней доступ и несет законодательную ответственность за сохранение ее в тайне.

Виды персональных данных:

  • Специальные сведения
  • Общедоступные сведения
  • Биометрические сведения
  • Иные сведения

Специальные данные

Специальные категории персональных данных — сведения, затрагивающие отношения к расе или нации, вопросы политических, религиозных и философских взглядов. Также сюда относится информация о здоровье физического лица и его интимной жизни. Операторы не запрашивают и не распространяют эту информацию без письменного подтверждения о согласии владельца.

Исключение составляют случаи:

  1. Разрешение в письменной форме гражданина.
  2. Субъект выложил эти сведения в источники публичного доступа.

    Защита персональных данных

  3. Обработка информации нужна для установления диагноза или профилактики заболеваний.
  4. Сведения необходимы для предотвращения риска жизни и здоровья, при условии невозможности получения разрешения владельца.
  5. Обработка происходит по законам, регламентирующим трудовую деятельность, деятельность пенсионной системы РФ.
  6. Если гражданин состоит в общественном или религиозном обществе, а обработка предполагается их организационно-правовой формой. При этом сведения не распространяются за пределы объединения без письменного разрешения владельца.
  7. Если разглашение данных поможет защитить права владельца информации или иных лиц, а также совершить правосудие.
  8. Обработка происходит в рамках законов России, в частности регламентирующих безопасность и противодействие терроризму, коррупции и работу оперативно-розыскных органов.

Общедоступные данные

Общедоступные данные — это информация, которую получает другой субъект о ком-то с согласия конкретного лица. Для подтверждения согласия достаточно ограничиться устным разрешением, но при этом оператор должен суметь доказать это согласие в случае возникновения спорных вопросов.

Неразглашение персональных данных

Сюда относятся данные, которые расположены в источниках открытого доступа. К таковым относятся справочники и адресные книги, когда материалы помещены там с согласия указанной личности.

Невозможно контролировать доступ к этой информации, ее может узнать любой человек.

Общедоступными сведения также становятся, если субъект самолично выложил их в открытом доступе, но даже тогда оператор обязан запрашивать разрешение на распространение.

По требованию субъекта эти сведения должны быть немедленно изъяты из общедоступных мест, если на это есть соответствующее решение суда или других органов, имеющих полномочия.

К общедоступным сведениям относятся:

  • Полные ФИО
  • Адрес
  • Дата рождения
  • Семейное положение
  • Образование физического лица
  • Другие сведения

Биометрические данные

Биометрические сведения — это информация, которая определяет людей по особенностям физиологии. Исходя из этого, можно установить личность необходимого человека. Для получения таких сведений требуется обязательное письменное разрешение владельца, исключая случаи, указанные в законе.

К информации такого рода относятся в первую очередь фото- и видеосъемка. Однако видео с камер охраняемой территории не относится к биометрическим сведениям, пока не используется для установления личности конкретного человека.

То же можно сказать о данных, находящихся в медицинской карте и истории болезни субъекта, так как медицинские учреждения не используют эту информацию в целях определения человека и не передают никому. Но как только эти материалы будут переданы по запросу в уполномоченные органы для оперативно-розыскной деятельности, они меняют свой статус.

На что стоит обратить внимание

Закон имеет нюансы, которым также нужно уделить внимание:

  1. Любая обработка информации должна следовать конкретной цели. Если итог и цель не совпадают, то такой сбор сведений не законен. Поэтому нельзя совмещать несколько информационных баз в одну, если их цели различны.
  2. Оператор информации отвечает за актуальность и полноту сведений, при этом удаляет или корректирует материалы вследствие их изменений.

    Как избежать утечки персональных данных

  3. Существует важный нюанс, если лицо осуществляет обработку по поручению кого-то, то оно не несет обязательства перед владельцем ПД, а также не обязано запрашивать у него разрешение. Все взаимоотношения производятся между оператором и субъектом информации. Но третье лицо несет обязательства перед оператором.
  4. Если личные данные необходимы для личных или семейных нужд, это не регламентируется указанным законом. Сюда относятся страницы друзей в социальных сетях, телефоны в записной книжке.
  5. К письменному согласию приравнивается разрешение, составленное в виде электронного документа, заверенного такой же подписью.
  6. Недееспособное лицо не вправе дать одобрение на обработку сведений о себе, за него это делает законный представитель. То же касается несовершеннолетних детей.

Субъект персональной информации может только разрешить или не разрешить обработку своих данных в форме, допускающейся законом. Обязательства за сохранение конфиденциальности возложены на оператора. Разглашение и неправомерное использование данных, особенно относящихся к специальной категории, преследуется по закону и регламентируется Роскомнадзором.

Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Источник: http://PravoDeneg.net/civil/spetsialnye-kategorii-personalnyh-dannyh.html

Персональные данные: что является ПДн, оператор ПДн, документы для обработки ПДн

2021-09-04 12:28:00

Наверное, нет таких предпринимателей, которых бы не пугали Роскомнадзором в 2018 году. Защищать персональные данные своих сотрудников и клиентов прошлым летом ринулись многочисленные предприниматели и в особенности интернет-предприниматели.

И тому была веская причина — ответственность за нарушение порядка обработки персональных данных была серьезно ужесточена — теперь есть ответственность в виде штрафа за неопубликование Политики обработки персональных данных.

При этом дела передали рассматривать от прокуратуры в Роскомнадзор, который куда более оперативно стал проводить проверки и рассматривать жалобы.

Что такое персональные данные?

Если вы зададите такой вопрос Роскомнадзору (а его не задавал только ленивый), то получите типовой ответ из Закона о персональных данных, что ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также их совокупность». Исходя из этого мы можем сделать вывод, что ПДН — это практически любая информация, а чаще её совокупность (например, ФИО и дата рождения), с помощью которой определяется или может быть определено конкретное физическое лицо.

Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация и т.п.;
  • контактная информация (адрес, номер телефона и т.п.);
  • семейное положение, наличие детей;
  • факты биографии;
  • СНИЛС;
  • дата и место рождения;
  • адрес;
  • email;
  • финансовое положение, включая сведения о зарплате (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • фотография и видеозапись, позволяющие установить личность человека (Разъяснения Роскомнадзора);
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

При этом само по себе ФИО или email ещё не будут персональными данными, т.к. не позволяет определить конкретное лицо, а вот вместе с дополнительными сведениями — об адресе, дате рождения или месте работы — уже будут являться ПДн. В отношении email есть интересная позиция: если адрес электронной почты содержит имя и фамилию гражданина, то он сам по себе тоже является персональными данными.

Отдельный вопрос, являются ли файлы файлы cookies (в которых собираются поведенческие сведения о пользователи конкретного ПК: посещенные сайты, длина сессий, аутентификационный идентификатор и т.п.

), данные о поведении пользователя на сайте, IP-адрес и сведения о геопозиции персональными данными? Роскомнадзор считает эти данные персональными и не только в совокупности с ФИО или фотографией пользователя, но и сами по себе.

В действительности cookies и IP-адрес лишь передают сведения о конкретном ПК или ином устройстве, выходящем в интернет, но не обязательно о конкретном пользователе.

IP-адрес ещё менее «надёжно» определяет пользователя, так как компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).

Есть несколько примеров, когда суды принимали решение признать персональным данными только имя в онлайн-форме на сайте (к примеру, постановление Тамбовского областного суда от 04.10.2017 по делу № 4А-288 в отношении тамбовской юридической фирмы). Ориентироваться на такую судебную практику не стоит:

  1. При желании можно найти решения суда, подтверждающие практически любую позицию, но это не значит, что эта позиция верна.
  2. Постановление Тамбовского областного суда — яркий пример судебного акта, который должен был быть отменён как незаконный и необоснованный, однако «нарушитель» не стал его обжаловать в Верховный суд РФ. Ведь очевидно, что имя не позволяет определить конкретное лицо с необходимой степенью достоверности.

К «неперсональным данным» относятся:

  • ИНН, так как он включен в ЕГРЮЛ и свободно доступен;
  • рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте);
  • видеозапись в публичных местах и на охраняемой территории;
  • образцы почерка (подписи) и фотография гражданина в его личном деле у работодателя согласно позиции Роскомнадзора, что «поскольку… личность уже определена и чьи персональные данные уже имеются в распоряжении оператора».

Однако если они будут использованы для идентификации человека, то сразу же становятся ПДн и более того специальной категорией — биометрическими ПДн.

Кто является оператором персональных данных?

Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.

Вы проводите семинар и просите слушателей оставить свои контактные данные (ФИО, email, название компании, должность, телефон и т.п.) в этом случае кем бы вы не являлись обычным гражданином или предпринимателем — вы оператор персональных данных, который:

  • собирает (как раз на семинаре);
  • систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
  • накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
  • уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
  • извлекаете сведения для передачи в сервис почтовых рассылок;
  • после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.

Все эти действия и называются обработкой.

Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору.

Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется.

Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Когда надо получать согласие на обработку персональных данных?

Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.

К примеру, при размещении на сайте формы подписки на рассылку, в которой будет только email и впоследствии не будет дополнительно требоваться ФИО, согласие на обработку ПДн не требуется. Многие сайты стараются получать согласия во всех случаях сбора данных о пользователе, т.к. нельзя исключать, что Роскомнадзор может изменить свой подход к ситуации.

Когда не нужно согласие на обработку персональных данных?

Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.

К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.

Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.

Такое согласие не требуется в случаях, когда обработка персональных данных:

  1. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
  5. необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.

Защита персональных данных

Ключевым моментом, связанным с вопросом персональных данных, является именно их защита — на это нацелены все усилия государства и построена вся логика работы с этими данными. Конкретные действия по защите определяет сам оператор (тот, кто обрабатывает ПДн) кроме единственного вопроса — назначения ответственного за организацию обработки ПДн, что он должен сделать сразу и безусловно.

Такие меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними.

Если проверяющие посчитают, что такие меры были недостаточными, то последует штраф и предписание, за неисполнение которого также предусмотрен ещё один штраф.

И так до того момента, пока вы не выполните всё ожидаемое от вас даже если вам это будет мешать вести бизнес.

Все мероприятия делятся на два вида:

  1. Юридические — по созданию комплекта документов.
  2. Технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. К примеру, установить антивирус, файерволл, пароль на ПК, иногда установить шифрование, обучить сотрудников.

В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе или закрывающемся шкафу или комнате, иметь замки в офисе, охранную систему).

Для защиты электронных данных вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять.

Специальные требования по защите ПДн предусмотрены для отдельных категорий операторов, к примеру, органов власти. Компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR), в том числе если они продают товары гражданам Евросоюза, должны учитывать также требования этого регламента.

Производить видеозапись или фотографирование клиентов, в т.ч.

пациентов не запрещено, если целью является контроль за оказанием услуг или их улучшение (фото- и видеофиксация, создание обучающих видео), однако Роскомнадзор придерживается позиции, что в «целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер».

Совет: установите в Политике по обработке персональных данных (является обязательным документом для всех, кто вообще обрабатывает их) порядок и сроки хранения фото- и видеозаписей с изображением сотрудников и клиентов, приведите в соответствие с ними настройки вашей техники, ограничьте доступ к этим записям лиц, не имеющих служебной необходимости их просматривать.

Минимальный комплект документов для законной обработки персональных данных:

  1. Политика в отношении обработки персональных данных — документ в котором устанавливаются категории, цели, способы обработки ПДн, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. Документ должен быть размещён онлайн или на видном месте в помещении компании.
  2. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
  3. Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц, который выполняет требование разграничения доступа и позволяет установить, какой из сотрудников имел доступ в случае разглашения.
  4. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Читайте вторую часть: инструкция по защите ПДн на сайте.

Источник: https://MainMine.ru/pro/personalnyie-dannyie-zashhita-bez-napadenij-chast-1

Все,что нужно знать о категориях персональных данных

Задача современного мира — обеспечить защиту персональных данных от внутреннего нарушителя частной информации. 

Что представляют собой подобные сведения и как проводится их защита?

Защита и прием персональных данных проводится в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных»

Персональные данные

Персональные сведения — существенная информация, относящаяся к конкретному лицу.

Персональная информация:

  • ФИО конкретного лица.
  • Полные год, месяц, а также полная дата рождения.
  • Адрес подобного физического лица, а также положения в семье и в обществе.
  • Образование подобного лица, основная профессия и уровень доходов.
  • Другая информация, которая содержится в действующем на территории страны федеральном законодательстве.

К другой информации относятся нижеперечисленные данные:

  • Паспортные данные физического лица.
  • Разнообразные финансовые ведомости.
  • Медицинская карта человека.
  • Биометрия.
  • Иная информация, которая, так или иначе, носит какой-либо идентифицирующий характер.

Общедоступные источники предоставления информации:

  • Адресные книги.
  • Всевозможные списки.
  • Иное обеспечение.

В подобные источники включается информация о конкретном лице, но сведения о человеке вносятся только с письменного согласия самого лица.

Для внесения требуются данные:

  • ФИО человека.
  • Год и точное место рождения.
  • Полный адрес регистрации или же прописки.
  • Абонентский номер конкретного гражданина.
  • Иная информация, которую согласен предоставить человек.

Иные данные относятся к специализированной категории ограниченного доступа.

По этой причине сведения должны быть надежно защищены действующим на территории нашей страны законом.

При проведении формирования требований по безопасности систем, данные подразделяются сразу на четыре категории.

Установленные категории данных

Ниже определено количество категорий.

К подобным категориям относятся:

  • Общедоступные.
  • Специальные.
  • Категории, подвергающиеся обработке непосредственно в информационных системах.
  • Биометрические.
  • Какие-либо иные категории.

Описание категорий

  • Общедоступные данные — сведения, которые получает гражданин ли группа лиц, с согласия определенного субъекта.

Источники общих данных — адресные книги, справочники и прочие общедоступные способы получения информации.

Такая информация исключается из источников по решению суда и других уполномоченных органов.

  • Специальные данные — сведения о национальности человека, расы и взглядов на политическую деятельность.

Подобную информацию получают только в ситуации, когда человек самостоятельно подписывает согласие на проведение установленной процедуры обработки персональных сведений.

  • Личные данные, обрабатывающиеся в специализированных информационных системах.

Определяются отдельные категории:

  1. первые касаются национальной и расовой принадлежности, а также политических взглядов;
  2. вторая категория позволят провести идентификацию человека и получить о нем информацию;
  3. данные, позволяющие по каким-либо сведениям провести идентификацию субъекта;
  4. общедоступные данные.

В разнообразных системах проводится обработка личных сведений, в среднем, в одно и то же время проводится обработка данных примерно ста тысяч человек.

  • Последний тип данных – биометрический.

Биометрический тип характеризуется данными об особенностях физиологии конкретного человека. Благодаря сведениям о физиологии есть возможность легко установить личность каждого определенного человека.

Сведения должны обрабатываться только при наличии личного согласия человека на совершение такого действия. Без согласия физического лица процедуру использования сведений можно проводить только на основании вынесенного решения суда.

Сюда относятся фото и видео субъекта.

Права субъекта

В качестве субъекта выступает определенное конкретное лицо, которое идентифицируется по внесенным им данным.

Это фактическое лицо, нуждающееся в защите на основании текущего закона.

Перечень прав субъекта:

  • Субъект получает неограниченный доступ к внесенным в программы или документы данным.

Доступ заключается в том, что субъект имеет право на грамотное предоставление сведений о непосредственном операторе данных.

Человек может потребовать  от  оператора частичное или полностью заблокировать уточнение имеющихся в программе данных.

В программе может содержаться:

  1. цель проведения обработки;
  2. способы, при помощи которых проводится обработка;
  3. сроки проведения обработки;
  4. перечень лиц, которые допущены к проведению обработки;
  5. перечень источников непосредственного получения личных данных;
  6. сведения о последствиях проведения обработки информации.
  • Обработка в ситуации, напрямую касающейся продвижения различного товара, выполнения работ или агитации, должна проводиться с согласия самого субъекта.
  • Физические лица самостоятельно принимают объективное решение в ситуации, когда их данные будут обрабатываться автоматизированным способом.

То есть, при проведении обработки персональных данных, субъект в обязательном порядке должен дать свое письменное согласие по форме на проведение действий, касающихся сведений.

Случаи, при которых письменное согласие требуется, четко оговариваются в текущем законодательстве.

  • Субъект обжалует действие или же напротив бездействие своего фактического оператора, занимающегося обработкой предоставленных ему данных.

Это право действует, когда человек по существенным причинам полагает, что оператор проводит процедуру обработки внесенных данных неправильным образом.

Человек может обратиться в профильный орган, занимающийся защитой прав существующих субъектов.

[box type=»download»] Каждый субъект имеет существенное право на возмещение убытков и компенсации фактического морального вреда, путем непосредственного обращения в суд с письменным исковым заявлением.[/box]

Оператор персональных данных

В качестве непосредственного оператора признается специализированный орган государства.

Организует требующуюся обработку, а также определяет фактические цели и содержание обработки данных.

Каждая организация, которая осуществляет сбор, хранение или уточнение имеющихся данных, является своего рода зарегистрированным оператором.

Некоторые организации, особенно, гсоударственные, по роду своей деятельности собирают и обрабатывают данные, принадлежащие их клиентам.

Оператор имеет полное право не уведомлять о проведенной обработке Роскомнадзор.

Оператор использует сведения без какого-либо уведомления:

  • Субъекта с непосредственным оператором связывают трудовые взаимоотношения.
  • Оператор получил личную информацию на основании зарегистрированного договора, одной из сторон — субъект.

Без предупреждения информация не распространяется и не передается посторонним третьим лицам.

  • Субъекты относятся к участникам общественных движений, а также религиозных организаций.
  • Данные полностью общедоступны.
  • Сведения содержат только ФИО субъекта.
  • Информация требуется только для однократного доступа субъекта на территорию, на которой находится оператор.

Обязанности оператора:

  • Контроль за безопасностью обработки данных.
  • Соблюдать уведомительный характер проведения обработки полученных персональных данных.
  • При получении личных данных, оператор должен получить письменное согласие субъекта на проведение грамотной обработки.
  • По первому требованию оператор предоставляет субъекту имеющиеся на текущий момент времени данные и вносит изменения.
  • Оператор предоставляет доказательство, что он получил согласие от субъекта на обработку данных.
  • По запросу специализированного органа, оператор дает имеющуюся информацию об определенном субъекте.

Обработка персональных данных

Основные принципы, на основании которых производится обработка принятых данных:

  • Оператор определяет цели в соответствии со своими действующими полномочиями.
  • Характер обработки соответствует поставленным целям.
  • Нельзя объединять персональные данные, представленные для целей разного направления.
  • По достижении поставленных целей персональная информация удаляется.

Два основных способа обработки персональных данных: автоматизированный и неавтоматизированный.

  • Неавтоматизированный метод обработки сведений — без использования средств автоматизации.

Запрещается фиксировать на одной и том же материальном носителе сведения, цели обработки несовместимы.

При обработке категорий персональных данных для их фиксации используются разные носители.

  • Второй способ обработки – автоматизированный.

Комплекс предоставляемых личных сведений подвергается обработке при помощи автоматизированных систем.

При этом операции проводятся полностью с использованием автоматизированных процессов или  частично.

Распространено использование частичного способа, так как это позволяет проводить обработку самостоятельно самим оператором, а хранить ее при помощи специальных программ.

Как обеспечивается безопасность персональных сведений?

В соответствии с законодательством, оператор должен принимать необходимые меры для защиты сведений от неправомерного или же ненамеренного доступа к ним.

Установление защиты достигается:

  • Исключение умышленного доступа к имеющимся данным.
  • Исключение случайного доступа к принятым данным.

Обязанность по обеспечению безопасности хранения информации полностью ложится на плечи оператора обработки данных.

По этой причине каждый оператор должен проводить следующие ключевые мероприятия:

  • Защищать информацию от несанкционированного доступа.
  • Обнаружить факт несанкционированного доступа к принятым личным данным.
  • Восстанавливать поврежденные персональные сведения.
  • Защищать вверенные ему сведения.

Контроль и надзор за выполнением требований закона

За выполнением  требований законодательства следит Роскомнадзор.

Роскомнадзор имеет право на:

  • Запрос у лиц информации, требующейся для грамотного контроля.
  • Проверка сведений, которые содержатся в предоставляемых уведомлениях.
  • Требование от действующего оператора уточняющей информации.
  • Блокирование или полное уничтожение предоставленных сведений, полученных каким-либо незаконным путем.
  • Принятие мер по приостановке или полному прекращению процедуры обработки сведений.
  • Обращение в суд для защиты прав субъектов.
  • Направление в прокуратуру или в другой уполномоченный орган материалов, необходимых для возбуждения уголовного дела из-за нарушения процедуры обработки личных данных.
  • Внесение в действующее Правительство предложений, которые направлены исключительно на совершенствование регулирования процедуры обработки внесенных данных.
  • Привлечение к установленной ответственности лиц, которые виновны в нарушении законодательства, регулирующего вопросы обработки информации о лице.

Источник: http://ip911.ru/ostalnoe/kategorii-personalnye-dannye.html

Защита персональных данных: категории, состав, защита, ответственность | Правоведус

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее – ПДн) – это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.

3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. “О персональных данных”).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2016 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей – для физических лиц; от 5000 до 10000 рублей – должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/