Обработка персональных данных что это

Содержание

Принципы обработки персональных данных, принципы и условия обработки ПНд

Обработка персональных данных что это

25 октября 2019 Персональные данные

Ранее наши коллеги из компании «ИТ-ГРАД» уже рассказали, что такое персональные данные (ПНд). Теперь пришло время обсудить требования, предъявляемые законом к обработке ПДн.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных»[1]. Рассмотрим наиболее значимые пункты:

  • обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн;
  • закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе;

Автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия на это! Можно считать классическим примером обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением;

Кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования (ФСС), когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права;
  • Последний принцип, на котором надо остановиться, закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Условия обработки персональных данных

Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.

  • наличие согласия субъекта ПДн. Помните, что наличие согласия субъекта персональных данных – это всегда правильно и хорошо. Причем оно должно быть сознательным, информированным и конкретным. В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн;
  • обработка ПДн допускается, если это предусмотрено в международном договоре или законе. Это особенно важно понимать, поскольку в России существует масса законов, прямо предписывающих организацию обработки ПДн, начиная от Трудового кодекса, закона «О связи», заканчивая законами «О кредитных историях», «О банках и банковской деятельности»;
  • наличие договора, в котором субъект ПДн выступает выгодоприобретателем/поручителем, или наличие инициативы субъекта заключить такой договор. Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию. В этом случае получать согласие от соискателя на вакантную должность не требуется, поскольку, предоставив резюме, человек выражает стремление заключить трудовой договор и тем самым дает согласие на обработку ПДн. Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн;
  • без согласия могут обрабатываться ПДн, полученные из общедоступных источников, которые подлежат опубликованию или обязательному раскрытию. Несмотря на кажущуюся простоту и очевидность рассматриваемого вопроса, подходить к этому пункту стоит с особой осторожностью. Дело в том, что было несколько громких дел, когда решение верховного и арбитражного судов сводилось к тому, что без согласия доказываемого субъекта ПДн данные, размещенные на общедоступном источнике для неограниченного доступа пользователей, было запрещено обрабатывать. С этим можно соглашаться или не соглашаться, но решение суда для ряда конкретных случаев вступило в законную силу.

Согласие субъекта – тонкости и особенности

Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.

Но и здесь не обходится без нюансов.

Как показывает практика, наиболее частым способом выражения согласия являются конклюдетные действия[2], когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.

Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?В этом случае регулятор хочет видеть дисклеймер[3], который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

  • включение персональных данных в общедоступные источники;
  • обработка специальных категорий персональных данных;
  • обработка биометрических персональных данных;
  • трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов;
  • принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

  • распространение персональных данных членов (участников) общественного объединения или религиозной организации;
  • передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Полезный вебинар о переносе ПНд в облако:

Источник.

И обязательно следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели. Положение об обработке персональных данных работников

Каков порядок обработки персональных данных работников, их родственников, в т.ч. при размещении их в облаке. Каков объем прав у сотрудников на защиту их персональных данных, нужно ли получать согласие работников.

Средства защиты персональных данных в организации

Организация данных и информации на предприятии – какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

ЦОД и 152-ФЗ Как и нужно ли проводить проверку на соответствие организации, ее бизнес-процессов, сайта, серверов на соответствие Федеральному закону №152-ФЗ «О персональных данных».

Источник: https://integrus.ru/blog/it-decisions/printsipy-obrabotki-personalnyh-dannyh.html

Раздел 3. Обработка персональных данных в образовательных организациях

Обработка персональных данных что это

В соответствии с п. 3 ст.

3 Закона о персональных данных обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, законодательством перечень действий по обработке персональных данных не ограничен и не исключает возможности обработки персональных любыми способами.

Обработка персональных данных должна соответствовать определенным целям, а обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.

Основополагающими началами обработки персональных данных являются заложенные в Законе о персональных данных принципы обработки персональных данных:

  обработка персональных данных на законной и справедливой основе;

  ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

  недопустимость обработки персональных данных, несовместимой с целями сбора персональных данных;

  обработка персональных данных, которые отвечают целям их обработки;

  соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;

  исключение обработки персональных данных, являющихся избыточными по отношению к заявленным целям их обработки и др.

Выделяют несколько способов обработки персональных данных:

  автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники;

  неавтоматизированная обработка персональных данных – обработка персональных данных, осуществляемая при непосредственном участии человека;

  смешенная обработка персональных данных.

Критерии обработки персональных данных без использования средств автоматизации установлены Постановлением Правительства РФ от 15.09.2008 N 687, утвердившим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

Статьей 16 Закона о персональных данных установлены права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных, в частности запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев: при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. В частности, примерами могут стать следующие ситуации:

  по результатам автоматизированной обработки данных выявлено, что у работника недостаточный уровень квалификации, то на этом основании уволить его как несоответствующего занимаемой должности нельзя;

  по результатам автоматизированной обработки данных выявлено, что работник не зашел на территорию организации, то на этом основании привлечь его к ответственности нельзя.

Данное положение нашло также отражение в статье 86 Трудового кодекса Российской Федерации, согласно которой при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Оператор непосредственно определяет порядок получения согласия субъекта персональных данных для обработки его персональных данных.

Письменная форма согласия должна включать в себя цель обработки персональных данных, а согласие субъекта персональных данных на обработку его персональных данных может включать в себя только одну цель обработки персональных данных.

Указанная норма является императивной и не подлежит расширенному толкованию. При обработке персональных данных субъекта в случаях, требующих составления письменной формы согласия в соответствии с ч. 4 ст.

9 Закона о персональных данных, указанное согласие составляется отдельно для каждой из целей обработки персональных данных.

Согласно пункту 2 статьи 9 Закона о персональных данных согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В тоже время, необходимо отметить, что требования по обработке персональных данных не распространяются на отношения, возникающие:

  при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

  организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

  обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Также положениями 2-11 части 1 Закона о персональных данных предусмотрены 10 случаев, при наступлении которых обработка персональных данных допускается без согласия субъекта персональных данных:

  обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

  обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

  обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

  обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ “Об организации предоставления государственных и муниципальных услуг”, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

  обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

  обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

  обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом “О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

  обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

  осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

  осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Таким образом, согласно п. 2 ч. 1 ст.

6 Закона о персональных данных если организация осуществляет деятельность в целях реализации федерального законодательства, то согласие на обработку персональных данных обучающихся не требуется, в частности образовательные организации, осуществляя в качестве оператора персональных данных обработку персональных данных обучающихся в целях организации образовательного процесса и представляя информацию о текущей успеваемости учащегося, осуществляя ведение электронного дневника и электронного журнала успеваемости, оказывает государственную услугу в соответствии с п. 8 приложения № 1 Распоряжения Правительства Российской Федерации от 17 декабря 2009 г. № 1993-р., не обязаны получать согласия обучающихся и их законных представителей.

При этом, следует обратить внимание, что в случае, если ранее организация получила согласие на обработку персональных данных в рамках оказания государственной услуги, то уничтожение данного согласия не требуется, а в случае, если законные представители несовершеннолетнего отозвали ранее данное согласие на обработку персональных данных в рамках оказания данной государственной услуги, то организация может продолжить обработку персональных данных в случаях, предусмотренных законодательством в сфере образования.

Иные персональные данные обучающегося, не связанные с образовательным процессом, общеобразовательная организация может получить только с письменного согласия одного из родителей (законного представителя), в том числе к таким данным относятся документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством, например, документы о составе семьи и ее социально-экономическом положении.

В случае, когда для предоставления государственной или муниципальной услуги необходима обработка персональных данных лица, не являющегося заявителем, и если в соответствии с федеральным законом обработка таких персональных данных может осуществляться с согласия указанного лица, при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие получение согласия указанного лица или его законного представителя на обработку персональных данных указанного лица (ч. 3 ст. 7 Закона о персональных данных). Необходимо отметить, что в этом случае основание, допускающее обработку персональных данных без соответствующего согласия в рамках оказания государственных и муниципальных услуг, распространяется на субъекта персональных данных, которым, помимо заявителя, может быть и иное лицо.

При зачислении несовершеннолетнего лица в общеобразовательную организацию согласно действующему законодательству необходимо осуществлять обработку персональных данных родителей (законных представителей) ребенка, в частности согласно Приказу Минобрнауки России от 22.01.

2014 № 32 в целях зачисления ребенка в общеобразовательную организацию родитель должен предоставить свои персональные данные в объеме фамилия, имя, отчество (при наличии), адрес места жительства и контактные телефон, а согласно п.

13 данного приказа в целях зачисления несовершеннолетнего в общеобразовательную организацию родители (законные представители) ребенка фиксируют своей подписью согласие на обработку своих персональных данных, а также персональных данных несовершеннолетнего.

Таким образом, в указанном случае правовым основанием обработки персональных данных родителей будет являться согласие на обработку персональных данных, что предусмотрено п. 1 ч. 1 ст. 6 Закона о персональных данных.

В тоже время, многие образовательные организации предоставляют услуги дополнительного образования, для чего между образовательной организацией и родителем (законным представителем) заключается договор, в котором согласно приказу Минобрнауки России от 25 октября 2013 г.

№ 1185 указываются паспортные данные родителя (законного представителя). В указанном случае правовым основанием обработки персональных данных будет являться п. 5 4. 1 ст.

6 Закона о персональных данных, в соответствии с которым получение отдельного согласия на обработку персональных данных в рамках договорных отношений не требуется.

Также, в образовательной организации могут проводиться разного рода исследования, направленные в частности, на выявление уровня удовлетворенности родителей образовательным процессом, в ходе которого родителю необходимо будет указать фамилию, инициалы и номер класса, в котором учится ребенок. В данном случае, правовым основанием обработки персональных данных также является согласие на обработку его персональных данных, получаемое в соответствии с п. 1 ч. 1 ст. 6 Закона о персональных данных.

В тоже время, согласно части 3 статьи 9 Закона о персональных данных обязанность представить доказательства того, что согласие на обработку его персональных данных получено, возлагается на оператора.

Отдельно необходимо выделить особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных.

Государственные и муниципальные органы могут создавать в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных, а особенности учета персональных данных в них могут быть установлены федеральными законами. В сфере образования в соответствии с частью 9 и 10 статьи 98, пункта 2 части 15 статьи 107 Федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации» и постановления Правительства Российской Федерации от 26 августа 2013 г. № 729 реализуется федеральная информационная система «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».

3/8

Источник: https://www.xn--d1abkefqip0a2f.xn--p1ai/index.php/rekomendatsii/item/19720-obrabotka-personalnykh-dannykh-v-obrazovatelnykh-organizatsiyakh?start=2

Обработка персональных данных – это что такое? Образец заявления на согласие

Обработка персональных данных что это

Обработка персональных данных – это совершение определенных операций с личными сведениями гражданина.

В их число входит сбор, систематизация, хранение, накопление, изменение, обновление, распространение, передача, иное использование, блокирование, уничтожение, обезличивание.

Необходимо учитывать, что вне зависимости от числа предусмотренных в законодательстве операций нормативное регулирование должно распространяться на все этапы обработки персональных данных. Этим будет обеспечена надлежащая их защита.

Ключевые принципы

Обработка персональных данных – это специфическая деятельность компетентных структур. Она должна основываться на принципах:

  • Правомерности целей и способов работы с информацией, добросовестности операторов.
  • Соответствия направленности операций целям, заявленным при оформлении бланка на обработку персональных данных. При этом оператор должен обладать соответствующими полномочиями.
  • Соответствия характера и объема личных сведений, способов их обработки заявленным целям.
  • Достоверности персональной информации, их достаточности.
  • Недопустимости обработки данных, не относящихся к целям, заявленным при их сборе.
  • Недопустимости объединения информационных баз, созданных для реализации несовместимых друг с другом целей.

Обработка персональных данных работника

Деятельность по работе с личной информацией начинается с получения сведений. По общим правилам, все данные предоставляет сам сотрудник. В некоторых случаях информацию можно получить только у стороннего субъекта. Об этом сотрудник должен быть извещен заранее. В таких ситуациях обязательно согласие работника на обработку персональных данных.

Наниматель должен сообщить гражданину о целях, источниках и способах работы с личной информацией, характере сведений, подлежащих получению. Работодатель разъясняет также последствия отказа сотрудника дать согласие на обработку персональных данных.

Ограничения

В ТК РФ предусмотрено несколько статей, ограничивающих возможности нанимателя при обработке персональных данных. Это статьи 86 и 88.

Согласно 4 пункту 86 нормы, наниматель не вправе запрашивать, собирать, хранить, использовать и совершать иные действия со сведениями, касающимися идеологических, политических, других убеждениях гражданина, его частной жизни. На основании 88 статьи ТК, работодатель не может требовать предоставления информации о состоянии здоровья сотрудника, если она не относится к решению вопроса, касающегося возможности исполнения им своих обязанностей.

Локальное нормативное регулирование

Обязанность ознакомления персонала с документами нанимателя, закрепляющими правила обработки персональных данных (образцы некоторых из них представлены в статье), их правами и ответственностью в этой сфере отражается в специальном правовом акте. В зависимости от особенностей деятельности предприятия и по усмотрению нанимателя, он может называться Инструкцией или Положением. Как правило, используется второй вариант.

В локальном документе, как правило, содержатся следующие пункты:

  • Общие положения. Здесь раскрываются основные понятия, используемые в документе.
  • Порядок обработки личных сведений.
  • Правила формирования персональной информации.
  • Хранение, учет, передача личных сведений.
  • Обязанности и права сотрудника в сфере обработки и защиты персональной информации.

В Положении закрепляется режим ограниченного доступа к личным сведениям. Служащие, ответственные за их обработку, должны соблюдать установленные правила. Соответствующая обязанность закрепляется в их должностных инструкциях, а также договоре и дополнительных соглашениях.

Положение об обработке сведений рассматривается как ключевой документ, отражающий специфику совершения операций с личными данными персонала. Этот акт обязательно должен присутствовать на предприятии.

Согласие субъекта

Гражданин, личные сведения о котором подлежат обработке, принимает решение об их предоставлении добровольно и в своих интересах. Его согласие должно быть сознательным и конкретным.

Оно может быть выражено в любой форме, позволяющей достоверно подтвердить получение, если другое не закреплено в федеральном законодательстве. Если заявление на обработку персональных данных лица получено от его представителя, полномочия последнего должны быть проверены оператором.

Такая ситуация, к примеру, может возникнуть при необходимости совершить операции с личными сведениями несовершеннолетних. В таких случаях оператор получает согласие на обработку персональных данных от родителей или иных законных представителей ребенка.

Их полномочия подтверждают документы, выданные в порядке, установленном законом. В частности, это может быть паспорт родителя и св-во о рождении несовершеннолетнего.

Указанные правила закреплены в 1 части 9 статьи ФЗ № 152.

Нюансы законодательства

В соответствии с ч. 2 9 статьи ФЗ № 152, субъект имеет возможность отозвать согласие, данное им ранее. В такой ситуации оператор может продолжить обработку полученных от гражданина сведений без его разрешения при наличии оснований, предусмотренных пунктами 2-11 1 части 6 статьи, ч. 2 ст. 10 и ч. 2 ст. 11 Закона “О персональных данных”.

Обязанность предоставлять доказательства наличия согласия от субъекта возлагается на оператора.

Письменное разрешение

В предусмотренных законодательством случаях обработка информации производится исключительно после получения согласия, оформленного письменно, от субъекта. Равнозначным бумажному носителю, заверенному личной подписью гражданина, признается электронный документ, подписанный цифровой подписью.

В бланке согласия на обработку персональных данных должны указываться:

  • Ф. И. О., адрес субъекта, реквизиты основного документа, подтверждающего его личность, информация о дате оформления и органе, выдавшем его. Для представителя указываются эти же сведения, а также данные о доверенности, на основании которой он действует.
  • Название или Ф. И. О., адрес оператора.
  • Цель обработки сведений.
  • Перечень данных, обработка которых разрешается субъектом.
  • Конкретные операции, которые будут совершаться с личными сведениями гражданина, общее описание методов работы с информацией.
  • Период, на протяжении которого действует оформленное лицом согласие, способ отзыва разрешения, если другое не предусматривается законом.
  • Подпись субъекта.

Правила получения согласия в электронной форме для предоставления муниципальных и госуслуг, а также услуг, необходимых для их оказания, определяется правительством.

Дополнительные сведения

Если субъект является недееспособным, разрешение на обработку данных о нем дает законный представитель. Если гражданин умер, согласие могут дать его преемники, если оно не было получено оператором при жизни лица.

Биометрические данные

Ими называют сведения, характеризующие биологические и физиологические особенности субъекта, по которым можно установить личность человека. Их обработка может осуществляться при наличии согласия, оформленного письменно. Исключения предусматриваются часть. 2 11 статьи ФЗ № 152.

Обработку биометрических сведений допускается осуществлять без согласия гражданина в целях:

  • реализации положений международных соглашений, участницей которых является РФ;
  • отправления правосудия и исполнения судебных постановлений.

Такая обработка также разрешена в случаях, предусмотренных нормативными актами, регламентирующими:

  • Оборону и безопасность страны.
  • Противодействие терроризму и коррупции.
  • Транспортную безопасность.
  • Оперативно-розыскную деятельность.
  • Порядок несения госслужбы.
  • Правила исполнения уголовных наказаний.
  • Порядок выезда/въезда лиц из/в РФ.

Специфика обработки информации в муниципальных/государственных информсистемах

Местные структуры власти и госорганы в рамках своих полномочий, закрепленных федеральным законодательством, формируют специальные базы личных данных.

Нормативными актами могут предусматриваться особенности учета личных сведений в муниципальных и государственных информсистемах, в том числе касающиеся использования разных методов обозначения принадлежности сведений конкретному лицу.

Для обеспечения надлежащей реализации прав граждан-носителей данных при обработке сведений в муниципальных или государственных информсистемах может создаваться регистр населения, юридический статус которого, а также правила работы с ним закрепляются федеральным законодательством.

Запреты

Свободы, интересы, права граждан не могут ограничиваться по мотивам, обусловленным использованием разных способов обработки личных сведений либо обозначения их принадлежности конкретному гражданину. Запрещено использовать методы, оскорбляющие чувства человека, унижающие его достоинство.

кроме того, операторы в своей деятельности обязаны руководствоваться положениями Конституции. В Основном Законе, в частности, не допускается никакая дискриминация граждан ни по каким признакам.

Обязанности оператора

При сборе личных сведений уполномоченный орган должен предоставить субъекту по его просьбе информацию, определенную в 7 части 14 нормы ФЗ № 152.

Если сообщение персональных данных, по установленным законодательством правилам, является обязательным, оператору надлежит уведомить гражданина о последствиях отказа передачи нужных сведений.

Специальные обязанности предусмотрены в случае, если личная информация была получена не от ее носителя. В таких ситуациях оператор должен сообщить субъекту:

  • Свое наименование или Ф. И. О. и адрес. Если от его имени действует представитель, сообщаются соответственно данные о нем.
  • Цель работы с личными сведениями, правовое основание работы с ними.
  • Предполагаемые пользователи информации.
  • Права субъекта-носителя персональных данных.
  • Источники получения сведений.

Оператор может быть освобожден от обязанности сообщать указанные выше данные, если:

  • Гражданин был извещен о совершении операций с его персональными сведениями.
  • Личная информация была получена на основании положений федерального законодательства либо в связи с выполнением условий соглашения, в котором поручителем либо выгодоприобретателем выступает ее носитель.
  • Персональные данные были получены из источника с неограниченным доступом либо стали общедоступными в результате действий самого гражданина.
  • Обработка личных сведений осуществляется для исследовательских или статистических целей, ведения профессиональной журналистской, научной, творческой, литературной деятельности. При этом не должны нарушаться права и интересы носителя данных.

Оператор должен предпринимать достаточные и необходимые меры для обеспечения исполнения обязанностей, установленных в ФЗ № 152 и иных нормативных актах, изданных в соответствии с этим Законом. Состав и перечень надлежащих мероприятий определяется компетентной структурой самостоятельно, если другое не закреплено правовыми документами.

Источник: https://FB.ru/article/364870/obrabotka-personalnyih-dannyih---eto-chto-takoe-obrazets-zayavleniya-na-soglasie

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Обработка персональных данных что это

Павел Новожилов

Руководитель группы консалтинга Центра информационной безопасности компании “Инфосистемы Джет”

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных.

Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном.

Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.

uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.


Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных.

Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных.

Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г.

№ 236 “Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения”. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется.

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах.

Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать.

Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п.

Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 
Конклюдентное согласиеСогласие в письменной формеИные формы согласия
+Легко получить (за исключением случаев, когда нужно согласие в письменной форме)При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательстваКак правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ “цель” указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).

  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных.

    Например, это может быть письмо по электронной почте или SMS-сообщение.

  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.


О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных.

Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться.

Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам.

Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных.

Так что этот вопрос лучше продумать заранее.


***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект1, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

_____________________________

1 С текстом законопроекта № 992331-7 “О внесении изменений в Федеральный закон “О персональных данных”” и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Источник: https://www.garant.ru/ia/opinion/author/novozhilov/1412855/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.