Что включает в себя обработка персональных данных

 

Требования к обработке персональных данных. Доверенность на обработку персональных данных. Что включают в себя персональные данные?. Узнайте об обработке персональных данных: что это значит, какие этапы включает в себя? Рассказано с примерами, как осуществляется сбор сведений работодателем, финансово-кредитными организациями или иными субъектами. Даны рекомендации для компаний.

Что включают в себя персональные данные?

Вся информация, касающаяся определённого гражданина, является его персональными данными. Получение, хранение, накопление и реализация этих сведений осуществляется исключительно после получения письменного разрешения этого человека.

Согласно положениям ФЗ № 152 от года, к подобной информации относятся:

  • ФИО определённого лица;
  • его дата и место рождения;
  • адрес официальной регистрации либо фактического проживания;
  • семейное положение;
  • наличие либо отсутствие детей;
  • возраст;
  • полученное образование;
  • место трудоустройства и должность;
  • уровень получаемых доходов;
  • социальное и имущественное положение;
  • и т. п.

Данная информация может содержаться в международном или гражданском паспорте гражданина, его свидетельстве о рождении, ИНН, СНИЛС, документах о полученном образовании, медицинских справках и заключениях, водительских правах и т. п.

Обработка перечисленной выше информации должна производиться только в целях соблюдения законодательства (к примеру, при оказании гражданину помощи в трудоустройстве).
Обычно нужные данные получаются у самого человека, однако в некоторых случаях должностное лицо вправе запросить их предоставление у третьей стороны (к примеру, у прежнего руководителя).

Необходимая документация и защита ПО

Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).

При обработке необходимо:

  1. Четко сформулировать цель.
  2. Определить, данные каких категорий будут использоваться.
  3. Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
  4. Позаботиться о защитных средствах.
  5. Определить структуру информационной системы.
  6. Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
  7. Идентифицировать местонахождение технических средств системы.
Справка! Оператор может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
 
Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92. Это быстро и бесплатно!

Ответственные лица

Обработку сведений осуществляет оператор. Для этого он назначает ответственного специалиста, который обязан осуществлять контроль за соблюдением требований закона о защите данных. Это может быть, например, сотрудник технического или юридического отдела, бухгалтерии или отдела кадров. Эти функции должны быть обозначены в его должностной инструкции или трудовом контракте.

Функции ответственного:

  • подготовка организационно-распорядительной документации;
  • информировать руководство обо всех попытках несанкционированного доступа к охраняемым сведениям;
  • следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности;
  • контролировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
  • прием и обработка обращений и запросов владельцев данных.
Важно! Ответственный обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы и пресекать действия других лиц, которые могут привести к разглашению такой информации.

В случае увольнения ответственный обязан вернуть все документы и материалы, относящиеся к своей деятельности.

Пошаговую инструкцию по назначению лица, ответственного за организацию обработки ПД, мы привели в отдельной статье.

Начало процедуры

Фото 2

Обычно дата начала использования сведений соответствует дате создания компании. Операторы, которые осуществляли сбор данных до 2006 года, обязаны направить в Роскомнадзор уведомление об этом. Уведомление заполняется в электронном виде После заполнения электронной формы Уведомления необходимо распечатать его на бланке организации, подписать и направить в местное Управление Роскомнадзора.
Датой начала обработки в уведомлении должна быть указана дата начала совершения действий с ними. Она может совпадать с датой регистрации или постановки организации на учет в налоговом органе.

  • Скачать бланк уведомления в Роскомнадзор об обработке персональных данных
  • Скачать образец уведомления в Роскомнадзор об обработке персональных данных

С чего начать и как организовать процесс обработки ПД мы рассказываем в отдельной статье.

Что значит ЦОД?

Центр обработки данных (ЦОД) — это структура, обеспечивающая автоматизацию бизнес-процессов и гарантирующая безотказную работу информационной системы. Центры позволяют работать с большим объемом данных, организовывать их хранение и обеспечивать связь между центрами и пользователями.

При выходе из строя ЦОД могут заблокировать доступ к информации, поэтому их защищают на случай отключения света, аварий, пожаров, взлома хакерами, кражи данных.

Больше информации о том, что такое ЦОД, найдете в этой статье.

Порядок обработки персональных данных работников

Процедура обработки начинается с получения необходимой информации у самого сотрудника. Перед сбором нужных руководителю сведений работник должен быть ознакомлен с порядком обработки персональных данных.

Крайне важно получить письменное согласие гражданина, иначе сбор и использование сведений о человеке будут считаться незаконными.

Если узнать информацию личного характера от самого сотрудника невозможно, руководитель может обратиться к другим лицам (например, в организацию, в которой гражданин был трудоустроен ранее). Однако и в этом случае без получения разрешения сотрудника не обойтись.

Он должен быть уведомлён:

  • о характере информации, необходимой руководителю;
  • об источниках её получения;
  • о целях использования;
  • о последствиях отказа от предоставления данных сведений.

Как указывалось выше, некоторая информация находится под запретом. Например, речь идёт о политических убеждениях или религиозных взглядах сотрудника. Сведения о состоянии здоровья работника также невозможно получить без наличия для этого весомой причины и разрешения самого гражданина.

Заявление о согласии сотрудника на обработку персональных данных обязательно должно содержать список сведений, подлежащих получению, сроки действия разрешения, сведения о работодателе, лице, о котором собирается информация, и его представителе. В последнем случае дополнительно необходимо подготовить доверенность, заверенную в нотариальной конторе.

Сам бланк заявления не имеет стандартной формы, поэтому может составляться в свободном виде. При этом важно включить в текст документа основные сведения, зафиксированные в 9 статье ФЗ № 152.

Общая информация

Работать с предоставляемыми персональными данными в большинстве случаев имеют право исключительно и уполномоченные работники, чаще всего с такой обработкой сталкиваются при трудоустройстве и передают свои персональные информационные показатели представителям кадровых кадровых служб и HR-подразделений.

Вне зависимости от ситуации предварительно необходимо обязательно получить письменное согласие от того, кто передает свои персональные данные.

Дальнейшее использование подобной информации также возможно только после получения официального разрешения.

Закон подробно перечисляет порядок информации, которая входит в этот список:

  • дата рождения;
  • имя, отчество и фамилия;
  • профессия и образование;
  • данные об уровне доходов и другое.
Есть перечень разделов персональных данных, любая потенциальная обработка которых допускается исключительно в уникальных случаях. В этот список входит: наличие судимостей, членство в профсоюзе, состояние здоровья.

Доверенность на обработку персональных данных

Как рассчитать трудовой стаж —

Списание и ликвидация трудовых книжек —

Можно работать по двум трудовым книжкам —

Получить сведения о конкретном человеке можно не только от него самого, но и от его законного представителя. При этом важно в тексте заявления о согласии на совершение данной операции указать ФИО и паспортные данные этого лица.

Стоит отметить, что без оформления нотариальной доверенности на обработку персональных данных, с образцом которой возможно ознакомиться на сайте, не обойтись.

Субъекты процедуры

Фото 3

Наиболее часто мы передаем данные при обращении в банк, интернет-магазин либо в страховую компанию. Например, если мы заказываем страховой полис на сайте страховщика, то всегда даем согласие на использование данных еще до регистрации и получения доступа в свой личный кабинет. Для этого просто ставится галочка о согласии на передачу сведений в конце заполненной онлайн формы заявления о страховании.

Для покупки ОСАГО придется передать не только паспортные данные, но и полную информацию о своем водительском стаже, марке машины, классе страхования. Эту информацию страховщик обрабатывает (сохраняет, использует для оповещения клиента, передает курьерской службе, для запроса дополнительной информации о страхователе в базе РСА).

В целях обеспечения безопасности страховые компании применяют специальные технические меры. Канал, по которому передается информация шифруется. Доступ в свой личный кабинет получают исключительно авторизированные пользователи.

Собирают информацию о клиенте и банки. Например, при оформлении кредита заемщик передает по требованию кредитора сведения о своем доходе от работодателя, других полученных кредитах, семейном положении, адресе не только своем, но и своих поручителей и пр. Эти сведения хранятся в автоматизированной системе банка и защищаются спецсредствами. Если клиент использует систему интернет-банкинга, то используются дополнительные меры для защиты от хакерского взлома и незаконного использования счетов.

Что скрывается за понятиями «использование» и «обработка» персональных данных?

Казалось бы, зачем больницам, учебным заведениям, ЖЭКам, работодателям стало необходимо предоставлять такую полную информацию о себе, своей семье, материальном положении, если совсем недавно еще не было этой надобности? Такой жестких сбор всех личных данных начался с принятием Федерального закона № 210 «Об организации предоставления государственных и муниципальных услуг», после чего во всю и заработали ранее принятый закон «О персональных данных».

Кому это нужно? Безусловно, не социальным и коммерческим структурам – они только инструмент для сбора информации. Все данные будут фиксироваться непосредственно у главного оператора – ОАО «УЭК», который планирует в скором времени обеспечить всех граждан электронными документами и запустить активную тщательную обработку каждого человека.

А что подразумевается под словом «обработка» и «использование»? Граждане понимает под этим понятием банальный сбор и хранение информации. А на что на самом деле соглашается человек?

В п. 3 ч. 1 ст. 3 ФЗ № 152 это обозначено следующим образом:

«Обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.»

Таким образом, люди добровольно передают в чужие руки разрешение распоряжаться своей личной жизнью. Теперь главный оператор, в будущем обеспечив вас электронным биометрическим документом, будет обладать всей полной информацией, касающейся вашего здоровья, наличия родственников, социальных выплат, совершенных сделок, налогах, хозяйственных покупок и даже передвижения! И, если вы, как обладатель универсальной электронной карты, будете не согласны с некоторыми действиями оператора, тогда все ваши данные он может просто заблокировать или вовсе уничтожить, как полноправный хозяин вашей персональной информации. Вы ведь заранее согласились на возможность применения к себе подобных мер!

Как осуществляется эта работа в организации?

Рассмотрим, как проходит процесс сбора и обработки на примере создания интернет-магазина.

Для хранения и использования сведений о покупателях, компании или ИП, которые владеют интернет-магазином, нужно зарегистрироваться в качестве оператора на сайте Роскомнадзора.

До этого нужно будет разработать регламенты и форму пользовательского соглашения. В них обычно пишется, что если пользователь зарегистрируется на сайте или заполнит заявку — эти действия будут считаться согласием на обработку его данных.

Покупатели обычно передают на сайт:

  • Ф.И.О;
  • дата рождения;
  • реквизиты платежной карты;
  • контактный телефон;
  • личные фотографии (иногда);
  • личный адрес.
Внимание! Если магазин собирается передавать данные покупателей третьим лицам, то это можно делать только в целях исполнения пользовательского соглашения (например, раскрывать сведения службе доставки, которая будет заниматься перевозом купленного товара).

Если же цели иные, то на это требуется отдельное согласие пользователя.

Владельцу сайта нужно разработать Политику в отношении обработки данных и опубликовать ее. Необходимо также указать электронный адрес, куда стоит обращаться с тем, чтобы его сведения были удалены. Придется также заключить соглашение об обеспечении безопасности, в котором будет указано, что будет обрабатываться и в каких целях.

  • Скачать бланк Соглашения на обработку персональных данных
  • Скачать образец Соглашения на обработку персональных данных
Фото 3

Какие сведения являются такой информацией?

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Какие сведения собираются?

Персональные сведения — это данные о физическом лице:

  • фамилия, имя, отчество;
  • место и дата рождения;
  • адрес;
  • семейный и социальный статус;
  • доходы и активы;
  • образование;
  • медицинский диагноз;
  • сведения и заключения о состоянии здоровья;
  • полис ОМС;
  • оказанные медицинские услуги.
Внимание! Обработка персональных сведений осуществляется только с согласия в письменной форме либо подачи документа, подписанного электронной подписью. Оператор вправе поручить обработку другой компании (с согласия субъекта личной информации).

Что представляют собой персональные данные человека и кому они нужны?

Фото 5

Итак, понятие «персональные данные человека» включает в себя не только его имя, отчество, фамилию и адрес регистрации, как мы привыкли понимать. Это полностью вся информация, которая прямо или косвенно касается конкретного физического лица: биометрические данные, сведения о состоянии здоровья и физиологические особенности, национальность, вероисповедание, состав семьи, наличие судимости, информация о сфере занятости, финансовые доходы и прочее.

В 2005 году Россия утвердила Конвенцию Совета Европы «О защите физических лиц при автоматической обработке персональных данных». После чего был принят Федеральный закон (ФЗ-№152) «О персональных данных», основные положения которого повторяет вышеуказанный международный акт. Большая часть людей думает, что закон предусматривает защиту личных данных человека. Но так ли это на самом деле?

Особенно настораживает в документе такое понятие как «автоматическая обработка данных», которое предусматривает как накопление и хранение данных личности, так и передачу их третьим лицам и использование в различных целях. Право выполнять эти действия принадлежит так называемому оператору, выступать в роли которого могут юридические или физические лица, государственные структуры, коммерческие организации.

Но главным нашим оператором является коммерческая структура ОАО «Универсальная электронная карта». Именно она обладает правом определять состав персональных данных, цели их обработки и совершать над ними любые действия.

Требования к обработке персональных данных

Процедура обработки начинается с получения личных сведений о гражданине. Согласно 86 статье ТК РФ и 6 статье ФЗ № 152, собрать и использовать персональные данные о человеке можно лишь после получения от него письменного разрешения.

В противном случае любые операции, производимые с подобной информацией, считают незаконными. Ниже представлены основные требования, предъявляемые к процедуре обработки:

  • любые действия, совершаемые с личной информацией о человеке, могут осуществляться лишь на законных основаниях и без нанесения ущерба для гражданина;
  • организации и физические лица, занимающиеся обработкой персональных данных, обязаны соблюдать положения Конституции и других нормативно-правовых актов;
  • информация о человеке первоначально получается у него самого (если подобное невозможно, допустимо запросить нужные сведения у других лиц при предварительном уведомлении гражданина и получении его разрешения);
  • обработке не подлежат религиозные и политические взгляды человека, его личная жизнь, участие в общественных объединениях;
  • работодатель сотрудника обязан обеспечить сохранность персональной информации от стороннего использования, разглашения или утраты;
  • граждане, о которых собирается личная информация, должны быть ознакомлены с порядком её последующей обработки под роспись.

Данные правила зафиксированы в 86 статье ТК РФ и направлены на защиту личной жизни гражданина.


Правовые основания

Вопрос использования личной информации о потребителе регулируется законом «О персональных данных», а также целым рядом подзаконных актов (Перечнем персональных данных, Положением об особенностях обработки, должностными инструкциями) и другими документами.

Сами компании разрабатывают целый пакет документов, регулирующих вопросы получения и защиты, полученных от клиента сведений. Например, Политику в отношении обработки.

  • Скачать бланк должностной инструкции ответственного за обработку персональных данных
  • Скачать образец должностной инструкции ответственного за обработку персональных данных

О правовом обеспечении обработки ПД читайте здесь.

Возможности обрабатывающих систем

Все системы, с помощью которых обрабатываются данные, подразделяются на типовые и специальные. К первым относятся системы, в которых требуется обеспечить только свойство конфиденциальности. Все остальные системы относятся к специальным.

Типовым системам могут быть присвоены четыре класса, в зависимости от масштаба негативных последствий для владельца конфиденциальной информации. Необходимо будет присвоить информационной системе соответствующий класс и его документально оформить.

Существует два вида обработки: автоматизированный и неавтоматизированный (делается человеком).

  1. Автоматизированная включает операции, осуществляемые полностью или частично с помощью автоматизированных средств:

    • хранение данных;
    • осуществление логических, арифметических операций;
    • изменение, уничтожение, поиск или распространение данных.

    Для хранения и систематизации используется компьютер, электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства.

  2. Для неавтоматизированного хранения и использования также могут быть использованы различные материальные носители, но при условии, что данные не будут сохранены в памяти, или скопированы.

О том, как происходит автоматизированная обработка ПД, мы рассказываем в специальной статье, а про обработку без использования средств автоматизации читайте здесь.

Фото 5

Сбор и архивирование

Процесс систематизации, хранения и использования сведений включает в себя обособление данных от другой информации, в частности путем фиксации на материальных носителях, в спецразделах или на полях форм (бланков), если речь идет об неавтоматизированной обработке. Либо сведения могут быть обработаны в автоматизированных системах (на компьютере, например). Для обработки различных категорий нужно использовать отдельные носители.

Для каких целей?

Обработка данных — это определенный набор действий для их использования (сбор, накопление, хранение и пр.). Еще до начала сбора информации должна быть сформирована цель, ради, которой собираются данные. Например, идентификация клиента среди других либо учет сведений обо всех партнерах и потребителях компании. Обработка должна ограничиваться достижением этих целей.

Требования к обработке информации:

  1. Осуществляется с согласия владельца.
  2. Без согласия, но при этом:
    • в целях судопроизводства, в том числе исполнительного;
    • для выполнения журналистской работы;
    • в статистических или иных исследовательских целях.

Обрабатываемые данные подлежат уничтожению либо обезличиванию, когда договор закончился или обязательства выполнены. Сведения, которая передаются, должны быть в любое время исключены из общедоступных источников, если человек не согласен с таким обнародованием либо если есть соответствующее решение суда.

О том, каковы цели обработки ПД, мы более подробно рассказываем тут.

Вопросы и ответы

Источники

Использованные источники информации.

  • https://urmozg.ru/trudovoe-pravo/obrabotka-personalnyh-dannyh-rabotnikov/
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya
  • https://naim.guru/trudovoe-pravo/sistema/personalnye-dannye/obrabotka/procedura.html
  • http://megapoisk.com/obrabotka-personalnyh-dannyh-grazhdan-rossii-pochemu-nuzhno-otkazatsja
0 из 5. Оценок: 0.

Комментарии (0)

Поделитесь своим мнением о статье.

Ещё никто не оставил комментария, вы будете первым.


Написать комментарий