Как передать персональные данные

Сегодня мы раскроем тему: "Как передать персональные данные", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Как передать персональные данные

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Обучение

Реклама

Партнеры

Форум

Интересует вопрос в плане ответа на запросы по электронной почте. Люди пишут гневные письма по поводу того, что ответы отправляются на бумажных носителях.
Чем руководствоваться, чтобы корректно дать ответ почему нельзя передавать ПД через электронную почту?

На практике однако хватает просто согласия субъекта.
Не встречал еще замечаний, если персональные данные направлялись субъекту по почте с его просьбы.

Тут можно даже подвести под моделирование угроз — субъект сам просил направить по электронной почти ПДн — значит ущер субъекту отсутствует. Отсутсвует ущерб — отсутствует угроза — отсутствуют средства защиты.

Так себе, но порой без электронной почты-то не обойтись.

Цитата
Павел пишет:
При моделировании угроз все равно без согласия не обойтись. Как доказать, что субъект просит отправить по электронной почте?

Никак разумеется. Согласие тут первично. Моделирование уже постолько-поскольку. т.к. Опционально то бишь.

Цитата
Павел пишет:
Можно взять с пользователей согласие на передачу персональных данных по открытым каналам связи, например, и отправлять по электронной почте.

Согласие на передачу ПДн по эл. почте не означает согласия на отсутствие их защиты. Защищать ПДн оператор обязан независимо от наличия согласия на обработку или на передачу ПДн.

Портал персональных данных Роскомнадзора, электронная форма уведомления:

Порядок подачи уведомления в электронном виде:
После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, Вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
Я ознакомлен(ознакомлена) с порядком подачи уведомления в электронном виде
Я подтверждаю своё согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет.

Источник: http://ispdn.ru/forum/forum1/topic3398/

Как составить согласие на передачу персональных данных третьим лицам? Образец и прочие нюансы

Руководство организации, в которой трудится сотрудник, располагает персональными сведениями о нем.

По этой причине существует установленный порядок с целью их передачи, охраны, обработки и защиты от сообщения третьему лицу без ведома служащего.

Последний должен написать согласие в письменном виде. Давайте подробно выясним, как это осуществляется, а также посмотрим образец документа на передачу персональных данных третьей стороне.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Персональными данными называют любые сведения, которые относятся к соответствующему или определяемому на основании этих сведений физлицу. Передача персональных данных регламентируется ст.88 ТК РФ.

Об особенностях трансграничной передачи персональных данных читайте тут.

Официальные получатели личных сведений

Официально являющиеся получатели персональных сведений гражданина (кому можно передавать без согласия) считаются следующие учреждения:

  1. ФСС РФ (Фонд соцстрахования): на основании ФЗ № 125 «Об обязательном соцстраховании от несчастных случаев на производстве и профзаболеваний».
  2. Пенсионный фонд России: регламентируется ФЗ № 27 «О персонифицированном учете в системе обязательного пенсионного страхования».
  3. Налоговые службы: согласно закону № 146 ч.1 НК РФ.
  4. Службы занятости: в соответствии с ФЗ № 1032-1 «О занятости населения в России».
  5. Органы министерства внутренних дел: ФЗ №3 «О полиции», ФЗ № 40 «О федеральной службе безопасности», ФЗ №144 «Об оперативно-розыскной деятельности».
  6. Военные комиссариаты: регламентируются ФЗ № 53 «О воинской обязанности и военной службе», Постановление Правительства РФ № 719 «Положение о воинском учете», Указ Президента России № 1132 «Об утверждении Положения о военных комиссариатах».
  7. Иные службы государственного контроля и надзора за соблюдением законодательства о труде.

Разглашение постороннему субъекту

ФЗ «О защите прав потребителей» включает в себя обработку с последующей передачей своих личных данных, если есть согласие сотрудника. При этом составляется в письменной форме документ, который хранится у работодателя. При возникшем споре бумага становится доказательством наличия согласия на передачу личных сведений сотрудника постороннему субъекту.

Каждая компания может столкнуться с необходимостью периодической отправки личных данных служащего из 1 структурного подразделения в другое. Эти сведения отправляются кадровой службой в бухгалтерию или службу безопасности. В этом случае учреждение должно ознакомить сотрудника с актом с получением подписи, подтверждающей его согласие.

Каким организациям позволяется получать личные сведения работника при его согласии? К примеру, такими учреждениями может стать банк для оформления безналичного счета, куда Наниматель будет перечислять зарплату и другие доходы сотрудника. Или кредитные организации, куда гражданин обращался за оформлением кредита или ссуд.

Предназначение бумаги

В положении указывается порядок обращения с персональными данными работника.

Содержание

Статья 9 Закона о персональных данных гласит, что он содержит в себе следующие пункты:
  • Ф. И. О. с адресом сотрудника.
  • Номер с датой выдачи и наименованием органа, выдавшего документ, который удостоверяет личность служащего.
  • Наименование с юридическим адресом нанимателя, получающего согласие в письменной форме.
  • Соответствующая цель отправки персональных сведений третьей стороне.
  • Конкретный список конфиденциальных сведений, на передачу которых сотруднику требуется дать согласие.
  • Период, на протяжении которого данный документ имеет силу.
  • Порядок отзыва согласия служащего.

Пошаговая инструкция по составлению документа с примерами

Для оформления бумаги по передаче персональных сведений рекомендуем воспользоваться нижеописанной инструкцией. Особых требований к составлению документа в законодательстве не сказано, однако выполнять его следует в письменном виде.

Читайте так же:  Срок исковой давности по пенсионным делам

В начале документа указывается наименование учреждения с должностью руководителя, на чье имя пишется бумага, индексом и юридическим адресом компании. К примеру:

450348, г. Москва, Ленинский проспект, д.3/1

Ниже следует обозначить от кого согласие: указывается Ф. И. О. работника полностью в родительном падеже. К примеру, Андреева Вячеслава Геннадьевича.

Тело текста.

В этом пункте работник дает свое согласие на передачу своих личных сведений.

Здесь указывается Ф. И. О. сотрудника со сведениями документа, удостоверяющего его личность, и местом проживания.

Андреев Вячеслав Геннадьевич

паспорт серия 3564 № 121227

выдан УВД «Гагарино» г. Москва, Ленинский проспект, 58-23

проживающий по адресу 454343, г. Москва, Ленинский проспект,3/1

Текст документа, где работник дает свое согласие.

Я принимаю решение о предоставлении моих персональных данных и даю согласие на их обработку свободно, в своей воле и своем интересе в соответствии с ФЗ № 152.

  • Список личных сведений, которые в последующем позволяется обрабатывать.
  • Конкретные организации, которым разрешается передавать личные данные.
  • Банк «Москва» для оформления безналичного счета, на который Работодателем будет перечисляться зарплата и иные доходы сотрудника.

    Список действий с персональными сведениями с общим описанием способов обработки, которые будут применены.

    Например: смешанная обработка (сбор, систематизация, накопление, хранение, уточнение, в т. ч. передача), обезличивание, блокирование, уничтожение персональных данных.
    Срок, на протяжении которого документ имеет силу.

    К примеру, срок действия согласия – 5 лет.

  • Порядок отзыва согласия сотрудника.
  • Заключение.
  • Перечень информации о человеке, которая передается после его разрешения

    1. Ф. И. О.
    2. Число с местом рождения.
    3. Адрес проживания с номером телефона.
    4. Семейное положение.
    5. Социальное положение.
    6. Имущественное положение.
    7. Образование.
    8. Профессия.
    9. Доходы и размер заработной платы.
    10. Иные сведения.

    К другой информации относятся данные паспорта сотрудника, трудовой стаж, номер пенсионного свидетельства, сведения о военной службе и воинском учете и др.

    Заключение

    Согласие на обработку персональных данных широко применяется в различных учреждениях, начиная с муниципальных организаций и заканчивая частными компаниями. Документ позволяет законно передавать личные сведения работника третьей стороне и служит доказательством при возникшем споре.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/peredacha/soglasie.html

    Для чего необходима передача персональных данных: что это такое и как происходит?

    Персональные данные запрещается передавать без согласия владельца. Иначе оператора, выполнившего это, может ожидать административная, уголовная или гражданская ответственность.

    Передача информации возможна только при соблюдении определенной процедуры и применения специальных мер для ее защиты. Для чего необходима передача персональных данных, что это такое и как происходит, расскажет данная статья.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Что это такое?

    Сведения о фамилии, имени, отчестве, месте и дате рождения, а также его адресе, семейном, социальном статусе, доходах и активах, образовании относят к персональной информации, которая не может становиться публичной без согласия на это самого человека. Исчерпывающее определение этого понятия указано в законе «О персональных данных», принятом еще в 2006 году.

    Передача данных возможна:

    • трансграничная (на территорию иностранного государства);
    • внутренняя (на территории РФ).

    Защита данных не требуется только в том случае, когда они являются общедоступными либо обезличенными. Например, если информация о человеке размещена на его сайте или уже была использована в СМИ или других открытых источниках либо если сведения поданы в виде статистики для научных целей.

    Можно ли передавать ее в другие организации?

    Личную информацию о человеке передавать можно, но для этого необходимо заручиться его согласием. К примеру, работодатель должен получить от сотрудника письменное одобрение, за исключением случаев, когда передача сведений необходима в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ). Не допускается также передача информации в коммерческих целях, к примеру, для последующей рассылки спама или рекламы.

    Какие данные работника охраняются законом:

    • номер паспорта;
    • контактные данные;
    • номер свидетельства о присвоении ИНН;
    • сведения о составе семьи, уровне дохода, штрафах;
    • номер страхового пенсионного свидетельства;
    • сведения из диплома, трудовой, медицинской книжки;
    • номер водительских прав и пр.

    Речь идет о сведениях, который любой работник самостоятельно передает в бухгалтерию или отдел кадров, когда оформляется на работу. Сам работодатель эту информацию не собирает. Это не должно попасть в посторонние руки, например, в базу данных клиентов телефонной компании или любой другой коммерческой компании.

    Работодатель также не вправе требовать отчета о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им своих обязанностей. Сведения о человеке (заполненная им анкета, личная карточка, результаты аттестации и пр.) могут быть переданы только специально уполномоченным лицам.

    Личные сведения передаются и при регистрации в онлайн-магазинах. Для этого покупатель всегда ставит галочку в онлайн-форме договора о своем согласии. Передается информация и в других случаях: от устройства ребенка в школу и до получения кредита.

    Даже если вы хотите подписаться на рассылку, где требуется предварительно заполнить анкету со сведениями о ваших доходах, семейном положении и прочем, необходимо будет давать согласие на обработку и хранение всех перечисленных сведений.

    Кому можно получать?

    Передавать данные можно всем, кто их запрашивает в рамках заключения договора (в том числе трудового) или другой деятельности.

    Наиболее часто мы передаем данные банку, страховщику, лизинговой компании и другим коммерческим организациям, с которыми оформляем письменный договор. Защита информации о вкладах, кредитах и других договорах клиента очень важна, так как любая утечка может привести к взлому карточного или другого счета либо нарушить банковскую тайну клиента.

    По законодательству вся информация об операциях клиента банка должна храниться на электронных носителях не менее пяти лет. В случае отзыва у банка лицензии, электронные носители должны быть переданы в Банк России. Защищаются только данные физлиц, поскольку на компании действие закона не распространяется.

    Данные клиентов хранятся в системе Клиент-Банк, перевода денег, а также на сайте компании и других ресурсах. Для защиты сведений в банковских и других структурах используются самые разные технические и организационные меры, например, подсистемы контроля доступа, регистрации, межсетевой безопасности, антивирусные меры, средства для обнаружения вторжений. Операторы шифруют свои архивы, документы, каналы связи и используют пакетную коммутацию MPLS.

    Читайте так же:  Ходатайство об установлении личности ответчика

    Особенности распространения личной информации

    Передача сведений может быть с согласия их владельца либо без согласия. Например, человек, который устраивается на работу, обязан передать информацию о себе в компанию, а если в отношении его начато следствие, то — нет.

    Передавать сведения в банки безопасно, так же как и в любые другие организации, которые работают с большим количеством клиентов, соблюдают все требования по защите данных и стремятся к тому, чтобы утечки ценных сведений не происходило.

    С разрешения владельца

    С согласия владельца передаются данные при любом заключении договора, а также при трудоустройстве. От работника в этом случае требуется письменное согласие. Если данные сотрудника, возможно, получить только у третьей стороны, то работодатель уведомляет его о запросе не позднее 5 рабочих дней.

    Письменное согласие работника требуется:

    • при получении сведений у третьей стороны;
    • при обработке специальных категорий данных.

    К спецкатегориям относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Для обработки этих данных нужно обязательное письменное одобрение сотрудника.

    Без его согласия

    Без согласия информация передается в том случае, если она обезличена (для статистических или иных научных целей) либо является общедоступной. Обработка биометрических данных может осуществляться без согласия только в связи с осуществлением правосудия, в целях безопасности, в рамках оперативно-розыскной деятельности, следствия.

    Согласие работника не требуется, если обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

    Процедура отправки

    Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

    Как передать данные третьим лицам:

    1. Определиться с набором сведений, которые будут переданы.
    2. Дать согласие на передачу.
    3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

    После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

    Подготовка документов

    Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

    Это может быть документ, в котором указывается дата, персональные данные и контакты, а также дается разрешение на их передачу. Либо пользователь принимает его путем регистрации на сайте или подачи заявки на получение товара или услуги. В последнем случае достаточно будет просто поставить отметку напротив соответствующей фразы.

    • Ф.И.О., адрес, номер паспорта;
    • наименование и адрес оператора;
    • цель обработки, перечень данных и действий с ними;
    • срок, в течение которого действует согласие, а также порядок его отзыва.

    Согласие дается на срок действия договора и в течение 5 лет после его окончания. Отзыв согласия может быть произведен в письменной форме не ранее даты прекращения договора или даты исполнения обязательств в соответствии с ним.

    Согласие дается на целый ряд действий: от сбора до уничтожения и трансграничной передачи. Обработка осуществляется путем хранения, записи на электронные носители и их хранение, составления перечней, маркировки. Если вы регистрируетесь на сайте, то оператор должен разъяснить, как может быть отозвано согласие и что для этого нужно сделать.

    Трудовой договор

    При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

    Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

    Каналы

    Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте. Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

    Досрочный отзыв

    В любой момент, даже если данные уже переданы, можно запретить их обработку и хранение другими лицами. В случае отзыва согласия оператор обязан по закону прекратить обработку и уничтожить их в течение месяца.

    Как отозвать разрешение на обработку данных:

    1. Подготовить заявление об отзыве согласия.
    2. Направить его на адрес оператора с просьбой прекратить обработку данных в течение 3-5 дней.
    3. Получить уведомление о выполнении просьбы заявителя.

    Например, часто отказываются от дальнейшей обработки и хранения медицинских данных родители детей, которые передавали их при оформлении в детские сады. Для этого пишется отзыв согласия в виде заявления на имя руководства учреждения. Аналогичные действия могут предпринимать и жильцы дома, которые протестуют против опубликования списка должников по коммунальным услугам.

    Оформление заявления

    В заявлении необходимо указать:

    • сроки прекращения;
    • просьбу о письменном уведомлении о результатах рассмотрения заявления.

    Нужно перечислить и какие именно данные нужно перестать обрабатывать. Например, если заявление составляется для банка, то речь может идти об адресе и регистрации, контактах работодателей, телефонов (личных и, например, поручителей, родственников). К заявлению может быть приложена копия договора и паспорта заявителя.

    Запрет на отправку своих сведений

    Видео (кликните для воспроизведения).

    Если владелец данных не намерен передавать их в другие организации, например, при заключении договора, то он может просто отказаться от его подписания. Подписать договор, наложив запрет на передачу данных зачастую просто невозможно. Отказ от обработки данных делает невозможным заключение договора.

    Точно также нельзя отказаться от передачи данных при трудоустройстве. Однако владелец данных всегда может отозвать их, если он считает это необходимым, написав заявление об отзыве.

    Обращение в суд в случае несанкционированного разглашения

    Подается исковое заявление по месту жительства истца или ответчика. Госпошлина при подаче иска составляет 200 рублей. Оператора также можно привлечь к административной или уголовной ответственности.

    Читайте так же:  Куда подать жалобу на решение суда

    Полезное видео

    Смотрим видео о защите и передаче персональных данных:

    Заключение

    Персональные данные можно использовать во вред владельцу, например, в мошеннических целях. Именно поэтому их сбор, обработка и хранение охраняется законом.

    Запрещается передача сведений о человеке без его согласия в любые сторонние организации. Всегда требуется запрашиваться согласие на обработку и передачу личной, а тем более биометрической информации о владельце. Согласие на обработку и хранение можно отозвать в любое время. При нарушении прав можно обращаться за их защитой в суд или с жалобой в Роскомнадзор.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/peredacha

    Ликбез по персональным данным для компаний, которые их обрабатывают

    Термины, нюансы и частые заблуждения — в материале от экспертов службы безопасности компании «Онланта» (входит в группу компаний ЛАНИТ).

    Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.

    Объясняем термины человеческим языком

    Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

    Первый термин, который требуется понимать, — персональные данные.

    Что такое персональные данные

    Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, — это тоже персональные данные?»

    Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

    Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

    Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

    На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

    Задачка

    У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

    Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ — два.

    1. Компания, в облаке которой размещена база данных интернет-магазина.
    2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

    Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

    Нюанс

    В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

    Методы защиты информации бывают разными.

    • Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
    • Техническими — c помощью специализированных средств защиты информации.
    • Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

    Пример

    Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

    Кажется, я обрабатываю персональные данные

    Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

    Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

    Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

    Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

    И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

    Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

    Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

    Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

    Читайте так же:  Обстоятельства смягчающие гражданско правовую ответственность

    Определяем категорию персональных данных

    Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

    Категории персональных данных простыми словами:

    Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

    Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.

    Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

    Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.

    Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

    Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).

    Персональные данные иных видов — сюда входят персональные данные, не вошедшие в указанные выше категории.

    Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.

    Категория, количество, тип угроз — уровень защиты

    После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

    Узнали категорию и количество, определите тип угрозы:

    Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

    Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

    Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

    Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе. Всего сейчас существует четыре уровня защиты.

    Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

    Определить уровень защиты можно по этой таблице.

    Пример

    Больница обрабатывает персональные данные своих пациентов — это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников — это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.

    Например, всего их — до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.

    Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

    Немного про опасность утечек персональных данных

    Зачем вообще так беспокоиться о защите персональных данных? Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях.

    Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

    Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

    В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

    Бремя ответственности

    Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

    Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

    В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

    За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

    Требования по обработке персональных данных

    А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

    Но начните хотя бы с этого:

    1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке.
    2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных — это главный юридический документ, который подтверждает законность обработки персональных данных.
    3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.
    Читайте так же:  Возмещение ущерба при дтп по европротоколу

    Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.

    С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.

    Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.

    Источник: http://vc.ru/flood/33380-likbez-po-personalnym-dannym-dlya-kompaniy-kotorye-ih-obrabatyvayut

    Защита персональных данных: какие сведения не вправе разглашать бухгалтер

    Автор: электронный журнал «Зарплата»

    Персональные данные

    Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

    К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

    Круг сведений о заработной плате

    Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

    Доступ к персональным данным

    Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

    В каких случаях персональные данные можно сообщить третьему лицу

    Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

    В каких случаях персональные данные нельзя передать третьему лицу

    В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

    Так, нельзя передавать данные о работнике, если:

    — с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

    — нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

    Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

    Защита персональных данных и ответственность за их разглашение

    В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

    Дисциплинарная ответственность

    Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

    Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

    — сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

    — они стали известны работнику в связи с исполнением им трудовых обязанностей;

    — уволенный работник дал обязательство не разглашать такие сведения.

    Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

    Административная ответственность

    За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

    Как корректно отказать в предоставлении сведений

    В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

    В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

    Запрос в письменной форме

    В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

    Письменное согласие работника

    В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

    Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

    Уведомление об отказе

    В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

    В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

    Видео (кликните для воспроизведения).

    Источник: http://www.audit-it.ru/articles/personnel/a110/822837.html

    Как передать персональные данные
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here