Не пропустите самое важное, что происходит в Интернете
Подписаться Не сейчас

Персональные данные

Рейтинг публикации: Рейтинг Рейтинг Рейтинг Рейтинг Рейтинг (5,00) ( 1)
129 просмотров
0 комментариев

Содержание

1. Задание №1………………………………………………………..…………….3

2. Задание №2…………………………………………………………………….14

3. Задание №3…………………………………………………………….………23

Список использованной литературы………………………………...…………30

Задание №1.

Под персональными данными необходимо понимать любую информацию, относящуюся прямо или косвенно к определенному лицу или неопределенному кругу физических лиц (субъекту персональных данных).

Под оператором понимается государственный или муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют цель обработки персональных данных, состав персональных данных, которые подлежат обработке, действия (операции), совершаемые непосредственно с персональными данными.

Обработка персональных данных – это любые действия (операции) или совокупность действий (операций), которые выполняются с использованием средств автоматизации, а также без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Сама автоматизированная обработка персональных данных - это обработка персональных данных определенными средствами вычислительной техники.

Информационная система персональных данных – это совокупность персональных данных, которая содержится в базах данных и обеспечивает их обработку в информационных технологиях и технических средствах.

Трансграничная передача персональных данных - передача самих персональных данных на определенную территорию иностранных государств, органам иностранного государства, иностранному физическому или иностранному юридическому лицу.

Под субъектом персональных данных должно пониматься лицо, имеющее право на получение информации, указанной в законе.

В качестве сферы применения и цели издания ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» выступает обеспечение непосредственной защиты прав и свобод человека и гражданина при обработке их персональных данных, в том числе защита прав на неприкосновенность частной жизни, а также личную и семейную тайну.1

В качестве определенных принципов обработки персональных данных выступают следующие элементы:

1. Обработку персональных данных необходимо осуществлять на за-конной и справедливой основе.

2. Обработку персональных данных необходимо ограничить достижением конкретных, заранее определенных и законных целей.

3. Обработку персональных данных, которые несовместимы с целями сбора персональных данных, не допустима.

4. Не допустимо объединение баз данных, которые содержат персо-нальные данные, обработку которых осуществляют в целях, несовместимых друг с другом.

5. Самой обработке подлежат только персональные данные, которые соответствуют целям их обработки.

6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть чрезмерными по отношению к заявленным целям их обработки.

7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность и, при необходимости, их соответствие целям обработки персональных данных. Оператор должен принять необходимые меры или обеспечить, чтобы они были приняты для удаления или уточнения неполных или неточных данных.

8. Хранение персональных данных осуществляется в форме, позволя-ющей определить субъекта персональных данных, не дольше, чем это требуется для целей обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, по которому бенефициар или гарант является субъектом персональных данных. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию в целях достижения целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.1

Законом предусмотрены определенные условия обработки персональных данных:

1. Обработка персональных данных осуществляется непосредственно с согласия субъекта персональных данных на обработку его персональных данных.

2. Обработка персональных данных нужна для достижения целей, предусмотренных международным договором Российской Федерации или законодательством, для осуществления и исполнения функций, полномочий и обязанностей, которые возложены на оператора законодательством Российской Федерации.

3. Обработка персональных данных протекает в связи с участием лица в определенном конституционном, гражданском, административном, уголовном судопроизводстве, а также при разбирательстве в арбитражных судах.

4. Обработка персональных данных нужна для исполнения определенного судебного акта, а также акта иного органа или должностного лица, которое подлежит исполнению в соответствии с нормами законодательства Российской Федерации об исполнительном производстве.

5. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных ФЗ от 27.07.2010 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

6. Обработка персональных данных нужна для исполнения договора, стороной которого является субъект персональных данных, выгодоприобретателем или поручителем, а также в целях заключения договора по инициативе субъекта персональных данных или договора, согласно которому субъект персональных данных будет являться сам выгодоприобретателем или поручителем.

7. Обработка персональных данных требуется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, в случае получения согласия субъекта персональных данных невозможно.

8. Обработка персональных данных, нужна для реализации прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при реализации просроченной задолженности» и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» или для достижения важных государственных целей, при условии, что это не нарушает прав и свобод субъекта персональных данных.

9. Обработка персональных данных нужна для осуществления профессиональной деятельности журналиста, а также законной деятельности средств массовой информации или научной, литературной или иной творческой деятельности с соблюдением условия, что это не нарушает прав и законных интересов самого субъекта персональных данных.

10. Обработка персональных данных осуществляется в статистиче-ских или иных исследовательских целях.

Под понятием конфиденциальности персональных данных необходимо понимать следующее. Операторы и иные лица, которые получили доступ к персональным данным, должны не разглашать третьим лицам и не распространять определенные персональные данные без получения согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.1

Существуют следующие категории персональных данных. ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» содержит понятие «категории персональных данных». В ст.10 этого закона говорится о специальных категорий, а в ст.11 - о биометрических данных человека. Закон устанавливает особые ограничения на обработку такой информации.

Компания - оператор обязана соблюдать установленные правила, в противном случае ей грозит административная ответственность и крупный штраф. Когда речь заходит об операциях с персональными данными, категории персональных данных различаются по характеру информации. В зависимости от этого вам нужно будет выполнить определенные требования закона.

Как происходит трансграничная передача персональных данных. На этот вопрос отвечает одна из статей ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», которая регулирует нюансы, связанные с персональными данными. Давайте посмотрим на настройки, указанные в нем.

Прежде чем приступить к передаче данных, входящих в категорию персональных через государственную границу, оператор - лицо, ответственное за выполнение этой задачи, должно быть уверено в том, что получает информацию иностранного государства, через границу которой будет передаваться интересующая нас информация, находящаяся в процессе обеспечения адекватной защиты прав субъекта требуемых персональных данных.

Передача персональных данных, осуществляемая через государственную границу на территории иностранного государства, находящегося в процессе обеспечения так называемой адекватной (отвечающей требованиям ситуации) защиты прав рассматриваемого субъекта персональных данных, должна осуществляться в соответствии с ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных». Целью создания таких ограничений и запретов является защита:

-основ, на которых был создан Конституционный строй нашей страны.

-мораль.

-права населения нашего государства.

3. Передача персональных данных трансграничного типа на территорию иностранного государства может осуществляться без создания и обеспечения адекватного уровня защиты только в случаях, когда так называемый субъект персональных данных (физическое лицо, имеющее прямое или косвенное отношение к требуемым данным) дал письменное согласие на осуществление такой передачи.1

4. Данный вид перевода предусмотрен в соответствии с международ-ными договорами Российской Федерации о выдаче так называемых виз.

Что касается правил передачи, которые не считаются чрезвычайными обстоятельствами, то есть передача информации другому государству осу-ществляется в обычном режиме для организации достойного (соответствующего) уровня защиты информации, необходимого для проведения комплексных мероприятий различного характера, которые входят в основную часть работы, направленной на создание безопасной передачи персональных данных. Для этого разрабатываются следующие документы.

Законом предусмотрены права субъекта персональных данных. Так выделяют право доступа субъекта к своим персональным данным. Субъект персональных данных имеет право знать о существовании владельца персональных данных, относящихся к субъекту, и иметь к ним доступ. Право доступа может быть ограничено только в случаях, предусмотренных законодательством Российской Федерации.

Информирование граждан о наличии персональных данных у владельцев персональных данных осуществляется на основании опубликованного в средствах массовой информации публичного реестра владельцев персональных данных. Сведения о наличии и содержании персональных данных субъекта должны выдаваться ему владельцем массива персональных данных в общедоступной документированной форме, в четко и ясно выраженной, и не должны содержать персональных данных, относящихся к другим субъектам.

Субъект персональных данных имеет право ознакомиться с докумен-тами, содержащими персональные данные о нем. Субъект вправе внести изменения в свои персональные данные. При наличии оснований, подтвер-жденных соответствующими документами, субъект персональных данных вправе потребовать от владельца этих данных внесения изменений в свои персональные данные.1

Если субъект персональных данных обнаруживает их недостоверность или оспаривает законность действий в отношении своих персональных данных, он вправе потребовать от владельца (владельца) заблокировать эти данные. Если субъект персональных данных считает, что в отношении его персональных данных были совершены противоправные действия, он вправе обжаловать эти действия в общем порядке, установленном действующим законодательством, либо подать жалобу в уполномоченный орган государственной власти по персональным данным.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных»:

1. Обеспечение безопасности обработки персональных данных, под которой понимается обязанность «принимать необходимые организационные и технические меры по защите персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных противоправных действий».

2. Уведомительный характер обработки персональных данных. В соответствии со ст.2 ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» оператор обязан уведомить уполномоченный орган по защите прав субъектов (Роскомнадзор) о своем намерении обрабатывать персональные данные до начала обработки персональных данных. Роскомнадзор вносит информацию об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.

3. При получении персональных данных (в том числе от третьих лиц) оператор обязан получить письменное разрешение субъекта на их обработку (за исключением случаев, когда персональные данные были предоставлены оператору на основании Федерального закона или если они находятся в открытом доступе). Важно отметить, что субъект имеет право отозвать это разрешение.1

4. Оператор обязан предоставить субъекту по требованию всю имею-щуюся информацию о нем, целях и условиях обработки, способах защиты его персональных данных. Оператор также обязан уничтожить или заблокировать соответствующие персональные данные, внести в них необходимые изменения для предоставления субъектам или их законному представителю информации, подтверждающей, что персональные данные, относящиеся к соответствующему субъекту и обрабатываемые оператором, являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Кроме того, оператор обязан предоставить доказательства получения согласия субъекта на обработку его персональных данных, а в случае обработки публичных персональных данных он обязан доказать.

5. Контроль и надзор за деятельностью операторов персональных данных осуществляется государственным органом. Это означает обязанность оператора сообщать уполномоченному органу по защите прав субъектов по его запросу информацию, необходимую для деятельности указанного органа. Контрольные и надзорные функции были возложены на Роскомнадзор.

Выделяют особенности обработки персональных данных в государ-ственных или муниципальных информационных системах персональных данных. Государственные и муниципальные органы власти создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

Федеральными законами могут устанавливаться особенности учета персональных данных в государственных и муниципальных информацион-ных системах персональных данных, в том числе использование различных способов указания принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, к конкретному субъекту персональных данных.1

Права и свободы человека и гражданина не могут быть ограничены по причинам, связанным с использованием различных способов обработки персональных данных или отнесением права собственности на персональные данные, содержащиеся в государственных или муниципальных информационных системах персональных данных, к конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих достоинство способов указания на принадлежность персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

Обеспечить соблюдение прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может создаваемый государственный реестр населения, правовой статус и порядок которого устанавливаются Федеральным законом.

Уведомление об обработке персональных данных. Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении обрабатывать персональные данные, за исключением случаев, предусмотренных ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» до начала обработки персональных данных.1

Уведомление, предусмотренное ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» направляется в форме бумажного документа или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующую информацию:

1. Фамилия, имя, отчество, адрес оператора.

2. Цель обработки персональных данных.

3. Категории персональных данных.

4. Категории субъектов, чьи персональные данные обрабатываются.

5. Правовые основы обработки персональных данных.

6. Перечень действий с персональными данными, общее описание методов обработки персональных данных, используемых оператором.

7. Описание мер, предусмотренных ст.18.1 и 19 ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, а также номера их контактных телефонов, почтовых адресов и адресов электронной почты.

9. Дата начала обработки персональных данных.

10. Срок или условие прекращения обработки персональных данных.

11. Сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки.

12. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан Российской Федерации.

13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней со дня получения уведомления об обработке персональных данных вносит в реестр операторов сведения, указанные в ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», а также сведения о дате направления указанного уведомления. Информация, содержащаяся в реестре операторов, за исключением информации о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.1

Оператор не вправе нести расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением информации в реестр операторов.

Лица, нарушающие требования ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», в зависимости от конкретных обстоятельств и тяжести содеянного могут быть привлечены не только к административной и уголовной ответственности, но и к гражданской и даже дисциплинарной. При этом административная ответственность была ужесточена с 1 июля 2017 года - вместо одного правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тысяч рублей.

Задание №2.

Под организацией обеспечения защиты персональных данных при их обработке в информационных системах (далее ПДИС) понимается совокупность мероприятий на всех этапах жизненного цикла ПДИС, согласованных целей, задач, места и времени для предотвращения (нейтрализации) и парирования угроз безопасности персональных данных в ПДИС, восстановления нормального функционирования ПДИС после нейтрализации угрозы, минимизации как прямого, так и косвенного ущерба от возможной реализации таких угроз.

Обеспечение защиты персональных данных (далее ПДн) при их обработке в автоматизированной информационной системе персональных данных (далее ИСПДн), должно осуществляться путем выполнения комплекса организационно - технических мероприятий (использования технических средств) в рамках системы (подсистемы) защиты персональных данных, развернутой в ИСПДн в процессе ее создания или модернизации.

Порядок обеспечения защиты ПДн в ИСПДн должен включать:

1. Оценку ситуации.

2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач по защите ПДн.

3. Разработку концепции обеспечения безопасности ПДн.

4. Выбор соответствующих способов (мер и средств) защиты ПДн в соответствии с целями и задачами защиты.

5. Управление безопасностью ПДн в динамике изменения ситуации и контроль эффективности защиты.

6. Обеспечение выполнения принятого плана защиты.

7. Планирование мероприятий по защите ПДн.

8. Организация работ по созданию системы защиты персональных данных в процессе разработки (модернизации) ПДИС, в том числе с привлечением специализированных сторонних организаций для разработки и развертывания.

9. Разработка документов, регламентирующих вопросы обеспечения безопасности персональных данных.

Обоснование требований по обеспечению защиты персональных дан-ных, обрабатываемых в ИСПДн, осуществляется в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти, обязательными стандартами и на основании «основных мероприятий по организации и технической безопасности персональных данных, обрабатываемых в информационных системах персональных данных».1

При этом идентификация и оценка актуальности угроз безопасности персональных данных при их обработке в ИСПДн осуществляется с использованием «базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «методики определения фактических угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Разработка концепции безопасности ПД является важным этапом обеспечения безопасности ПД, в ходе которого осуществляется выбор основных способов защиты ПД. При выборе методов обеспечения защиты ПДн, обрабатываемых в ИСПДн, необходимо определить организационные мероприятия и технические (аппаратные, программные и аппаратные) средства защиты. При выборе технических средств защиты необходимо использовать сертифицированные средства защиты информации. Решение вопросов управления безопасностью ПД в динамике изменения ситуации и мониторинг эффективности защиты является важным аспектом поддержания необходимого уровня безопасности ПД.

Решение основных вопросов обеспечения защиты ПД должно включать подготовку кадров, выделение необходимых финансовых и материальных ресурсов, закупку и разработку программно - технических средств. При подготовке документации по обеспечению безопасности ПДн при их работе в ИСПДн в обязательном порядке разрабатываются:

1. Положение об организации и проведении работ по обеспечению безопасности ПДн при их обработке.

2. Требования к обеспечению безопасности ПДн при обработке.

3. Должностные инструкции персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

Одной из причин, по которой обработке без автоматизации уделяется меньше внимания, является сложность определения границ такой обработки. Многие операторы даже не задумываются о том, что может под него попасть. Если изучить судебную практику, то можно выделить много интересных случаев. Конечно, деятельность отдела кадров и бухгалтерского учета является святая святых обработки без применения автоматизации, но все же можно выделить ряд типичных случаев, о которых забывают операторы. Например, архив. Часто операторы ссылаются на ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», что, мол, архив не подпадает под действие закона.

Однако оказывается, что никакой это не архив на предприятии, а просто состав с табличкой архив и архивное законодательство не соблюдается. Соответственно, этот состав полностью подчиняется закону и все, что в нем хранится, должно быть обработано в соответствии с установленными требованиями. Еще один клад для проверяющих органов находится у секретаря. Чего там только нет. И списки сотрудников со всеми контактными номерами и адресами, и ксерокопии паспортов на покупку билетов, и даты рождения детей сотрудников, и анкеты претендентов, и конечно же приказы, лежащие на подписи. Все они являются материальными носителями персональных данных, к которым должен быть ограничен несанкционированный доступ и обеспечена конфиденциальность и безопасность содержащихся в них персональных данных.

Следующее интересное место - служба безопасности. Вы знаете, что там может быть. В том числе анкеты, данные о предыдущих судимостях, которые «нормальному» оператору обрабатывать не разрешается. Такие случаи можно перечислять очень долго и у всех они свои. Самое главное понять, что с определения границ обработки персональных данных необходимо начать работу по выполнению требований законодательства, то есть определить объем данных и их обработку.1

В целом закон практически не разделяет требования к различным ви-дам обработки персональных данных, за исключением ст.19 ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», в которой практически каждый пункт касается обработки в информационных системах. Главное, чтобы обработка персональных данных без использования средств автоматизации осуществлялась в соответствии с принципами и в случаях, установленных законом. Но помимо закона, существует подзаконный акт, специально регламентирующий обработку персональных данных без применения средств автоматизации - постановление Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без применения средств автоматизации».

Это положение часто служит основанием для наказания операторов. Это не так просто, как кажется. На заре становления практики соблюдения законодательства о персональных данных считалось, что вся эта информация - факт обработки персональных данных, категории персональных данных и правила их обработки - должна быть в должностных инструкциях соответствующих лиц.

Но эта практика не показала своей дееспособности, так как должност-ные инструкции каждого сотрудника не очень удобно менять (мягко говоря), тем более что если, например, изменятся внутренние правила обработки, то все должностные инструкции придется менять заново. Информирование о факте обработки персональных данных и о категориях обрабатываемых данных, ознакомление сотрудников с перечнем должностей, участвующих в обработке персональных данных, путем разделения перечня обрабатываемых данных с применением средств автоматизации и без применения средств автоматизации.

Выделяют определенные требования к материальным носителям био-метрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Эти требования применяются при использовании физических носителей, на которых записываются биометрические персональные данные, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляется запись и хранение информации, характеризующей физиологические особенности человека и на основании которой устанавливается его личность.

Эти требования не распространяются на отношения, возникающие в результате использования:

1. Оператор информационной системы персональных данных (далее-оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является.

2. Бумажные носители для записи и хранения биометрических персо-нальных данных.

Материальный носитель должен обеспечивать:

1. Защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

2. Возможность доступа к биометрическим персональным данным, записанным на материальном носителе, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее-уполномоченные лица).

3. Возможность идентификации информационной системы персональных данных, в которой были зарегистрированы биометрические персональные данные, а также оператора, сделавшего такую запись.

4. Невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

Оператор утверждает порядок передачи материальных носителей уполномоченным лицам. Материальный носитель используется в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальном носителе, но не более срока эксплуатации, установленного производителем материального носителя.1

Вид материального носителя, который будет использоваться для обработки биометрических персональных данных, определяется оператором, за исключением случаев, когда нормативными правовыми актами Российской Федерации предусмотрено использование материального носителя определенного вида. Оператор должен:

1. Вести учет количества экземпляров материальных активов.

2. Присвоить материальному носителю уникальный идентификацион-ный номер, позволяющий точно идентифицировать оператора, который записал биометрические персональные данные на материальном носителе.

Технологии хранения биометрических персональных данных вне ин-формационных систем персональных данных должны обеспечивать:

1. Доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц.

2. Использование электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальном носителе.

3. Проверка письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или иных оснований для обработки персональных данных, установленных законодательством Российской Федерации в области отношений, связанных с обработкой персональных данных.

Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

При хранении биометрических персональных данных вне информационных систем персональных данных регистрируются факты несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

Оператор вправе устанавливать дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных данного оператора, не противоречащие требованиям законодательства Российской Федерации.

Предусмотрены следующие меры по обеспечению выполнения требований ФЗ «О персональных данных» и принятых в соответствии с ним нормативных документов операторами, являющимися государственными и муниципальными органами:

1. Назначать лицо, ответственное за организацию обработки персо-нальных данных в государственном или муниципальном органе, из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся обязанностями государственной гражданской службы Российской Федерации или на муниципальной службе, на основании трудового договора.

2. Утверждает актом руководителя государственного или муниципального органа следующие документы, а именно:

-правила обработки персональных данных устанавливают порядок выявления и предупреждения нарушений законодательства Российской Федерации в области персональных данных и определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, которым обрабатываются персональные данные, сроки их обработки и хранения, порядок уничтожения при достижении целей или при возникновении иной законной причины.1

-правила рассмотрения обращений субъектов персональных данных или их представителей.

-правила внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.

-правила работы с обезличенными данными в случае злоупотребления персональными данными.

-перечень информационных систем персональных данных.

-перечни персональных данных, обрабатываемых государственным или муниципальным органом в связи с осуществлением служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и выполнением государственных или муниципальных функций.

-перечень должностей работников государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных.

-перечень должностей работников государственного или муниципального органа, замещение которых обеспечивает осуществление обработки персональных данных или осуществление доступа к персональным данным.

-должностная инструкция (должностные обязанности) или должност-ная инструкция - ответственность за организацию обработки персональных данных в государственном или муниципальном органе.

-типичная обязанность работника государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) или трудового договора прекратить обработку персональных данных, ставших ему известными в связи с исполнением служебных обязанностей.

-типовая форма согласия на обработку персональных данных работников государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных правовых последствий отказа в предоставлении своих персональных данных.

-порядок доступа работников государственного или муниципального органа в помещения, в которых осуществляется обработка персональных данных.1

При эксплуатации информационных систем персональных данных, если оператором таких информационных систем является государственный или муниципальный орган, принимать правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, в соответствии с соответствующими нормативными актами, соблюдать установленные правительством Российской Федерации требования по защите персональных данных при их обработке, соблюдение которых обеспечивает установленные уровни защиты персональных данных.

Необходимо ознакомить работников государственного или муници-пального органа, непосредственно осуществляющего обработку персональных данных, с положениями законодательства, локальными актами по обработке персональных данных и (или) организовать обучение этих работников.

Задание №3.

Соблюдение положений закона и нормативных актов, изданных в це-лях его дополнения и уточнения, европейского законодательства в области защиты персональных данных.

Так, перечень сведений, составляющих государственную тайну, уста-новлен конвенцией «О защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981) и одноименным ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», следовательно, при соблюдении установленного законом порядка такой перечень может быть как пересмотрен, так и расширен.

Рассматривая соответствие положений международного и российского законодательства в части защиты персональных данных, можно выявить как общие черты, так и некоторые отличия. Например, сопоставление целей конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981) и ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных», выступает более фундаментальным подходом рассматриваемого закона. Цель ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» - это защита прав и свобод человека и гражданина при обработке его персональных данных, а также неприкосновенности частной жизни, личной и семейной тайны. Цель конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981) - обеспечение безопасности на территории каждой стороны для каждого физического лица, независимо от гражданства или места жительства, соблюдение его права на неприкосновенность частной жизни в части автоматической обработки персональных данных.1

Очевидно, что понятия «уважение» и «защита» не идентичны по своему смыслу, более того, конвенцию «О защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981) ориентирована исключительно на автоматизированную обработку персональных данных, а ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» по всем отношениям, связанным с обработкой персональных данных в информационных системах.

Выделяют определенные особенности правового регулирования защиты и обработки персональных данных в Российской Федерации.

Так в ведущих российских школах трудового права, правопримени-тельной и судебной практики было проведено исследование особенностей регулирования защиты персональных данных работников.

В частности, были изучены основные положения законодательства по предмету особенностей обработки персональных данных при приеме на работу, в процессе трудоустройства, увольнения работников, проанализированы меры уголовной, административной, гражданско - правовой, финансовой и дисциплинарной ответственности за нарушение требований к обработке персональных данных работников на основании положений судов Российской Федерации при рассмотрении соответствующих дел.

В ходе исследования были выявлены практические и теоретические проблемы, некоторые пробелы и коллизии существующих норм права, предложены варианты их решения:

1. В гл.1 Трудового кодекса РФ предлагается повысить уровень защиты прав не только действующих работников, но и лиц, вступающих в трудовую деятельность, а также тех, с кем трудовой договор уже расторгнут. Расширить круг лиц, подпадающих под действие гл.14 Трудового кодекса РФ, переименовав ее с «защиты персональных данных работника» на «обработку и защиту персональных данных в трудовых и иных смежных отношениях».

В качестве обоснования предложения указывается на несоответствие установленных целей обработки персональных данных работников, в частности, содействия работникам в трудоустройстве, как непосредственно связанных с трудовыми отношениями, с действующим названием, сужающим круг лиц до работников.

2. На наш взгляд, проблемой законодательства в области обработки персональных данных является противоречие норм законодательства в части определения неавтоматизированной обработки персональных данных. Так, использование, уточнение, распространение, уничтожение персональных данных, содержащихся в информационной системе, при непосредственном участии лица к неавтоматизированной обработке. Тогда как ст.3 ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» устанавливается, что любая обработка персональных данных с помощью компьютерных технологий автоматизирована.

По нашему мнению, устранение данного несоответствия является за-поздалым изменением действующего законодательства в связи с тем, что эти документы предъявляют различные требования к процессу обработки персональных данных, в том числе и сотрудников.

3. Еще одной проблемой в регулировании защиты персональных данных в процессе трудовых отношений является отсутствие единого толкования термина биометрические данные, в частности, ссылки на них фото и видеоизображений работников.

Принимая во внимание тот факт, что на данный момент отсутствует действующий документ, позволяющий идентифицировать фотоизображения работников как биометрические данные, а разъяснения об отнесении фото и видеоизображений к биометрическим данным даются проверяющим органом, в полномочия которого не входит толкование законодательства, считаем отсутствие четкой позиции по данному вопросу пробелом в современном законодательстве, который необходимо устранить.

4. В настоящей работе была изучена судебная практика по вопросам в данной сфере - графа для лиц, поступающих на работу, и действующих сотрудников, показывающая количество случаев неправомерных дисциплинарных взысканий, увольнений и принудительного расторжения трудового договора вследствие применения теста на детекторе лжи. Исходя из этого, было предложено регулировать проверку на полиграфе на федеральном уровне.

В настоящее время отсутствие такого закона усложняет и ограничивает использование опросов в правоохранительных целях, а также создает условия для злоупотребления этим методом.

5. На основе анализа судебной практики в данной работе было предложено увеличить размер административных штрафов, предусмотренных ст.13.11 КоАП РФ, в целях предупреждения нарушений установленного законом порядка сбора, хранения, использования или распространения персональных данных.

6. Существует практическая проблема привлечения работника к полной материальной ответственности за разглашение персональных данных работников в связи с отсутствием соответствующих норм в федеральных законах.1

Таким образом, проанализировав основные вопросы правового регулирования защиты персональных данных работников, приняв во внимание научные аргументы и факты, действующее законодательство, судебную и правоприменительную практику, выявив пробелы, коллизии, практические проблемы и сформулировав рекомендации по их устранению, мы считаем цель данного исследования достигнутой.

В связи с принятием ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» и последующими поправками в Трудовой кодекс РФ, регулирование отношений, связанных с обработкой персональных данных работников, значительно приблизилось к уровню международных стандартов в этой сфере, однако есть проблемные области, в частности, выявленные в данной работе, которые законодателю еще предстоит исправить.

Имеется определенное влияние требований законодательства в области персональных данных на современное делопроизводство. Формальным основанием для принятия ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» послужили многочисленные факты хищения баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа. По сути, основной целью принятия этого закона была необходимость устранения определенных барьеров в торговле с европейскими странами.

Согласно нормам европейского законодательства, персональные данные могут передаваться только в страны, которые обеспечивают такой же уровень защиты, как и в Европе. Это значительно облегчило обмен данными между европейскими государственными учреждениями и компаниями с их зарубежными партнерами, сделав невозможными многие коммерчески перспективные проекты. Подобные ограничения испытывали не только Россия и страны третьего мира, но и такой экономический монстр, как США. Таким образом, наше правительство решило преодолеть этот барьер. Посмотрим, как он это сделал и во что это нам обойдется.

Принятие ФЗ от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персо-нальных данных» стало следствием присоединения Российской Федерации к конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981) определяющей основные принципы защиты персональных данных в европейских странах. Эта конвенция и несколько последовавших за ней директив в общих чертах определяют задачи, которые должно решать национальное законодательство в регулировании обработки персональных данных:

1. Защита персональных данных от несанкционированного доступа других лиц, в том числе представителей государственных органов и служб, не обладающих необходимыми полномочиями.

2. Обеспечение сохранности, целостности и точности данных в процессе работы с ними, включая передачу по каналам связи.

3. Обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных.

4. Обеспечение контроля за использованием персональных данных самим гражданином.

5. Создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав граждан на защиту своих персональных данных.1

Наш закон во многом повторяет основные положения европейского законодательства в этой сфере, которое считается одним из самых жестких в мире. Хотя закон часто обсуждался в 2006 году, мало кто внимательно читал содержание его положений. Но для того, чтобы обеспечить соблюдение его требований, необходимо будет существенно изменить работу с информацией и документацией, содержащей персональные данные. Давайте попробуем разобраться, что же нового в области документооборота и информатизации в организации.

Во всех организациях есть новый, достаточно объемный пласт доку-ментации. Это документы, связанные с получением согласия физических лиц на обработку их персональных данных, с регистрацией баз данных в уполномоченном органе, с документированием всех операций с персональными данными и т.д.

Существует необходимость выделения документов и информации, содержащих персональные данные, их специальной маркировки как на бумажных, так и на электронных носителях, ведения раздельного учета и отслеживания доступа к ним. Можно говорить о появлении еще одного вида грифа доступа к документам.

Принципиально меняется подход к установлению сроков хранения документов и информации. Впервые в отечественной практике установлен максимальный срок хранения, причем срок условный, который будет довольно сложно соблюдать и отслеживать.

При работе с персональными данными необходимо заранее четко продумать и зафиксировать в нормативных документах все, что связано с их обработкой. В противном случае организация может быть привлечена к ответственности, и, что еще более печально, могут быть многочисленные судебные иски от самих субъектов персональных данных. Закон вводит очень жесткие сроки для всех обращений граждан, связанных с обработкой персональных данных.

Список использованной литературы

1. Всеобщая декларация прав человека Организации Объединенных Наций от 10 декабря 1948 года принята Генеральной Ассамблеей ООН 10 декабря 1948 года. // СПС «Консультант плюс».

2. Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации» Электронный ресурс.: [текст в ред. от 27.07.2012] // СПС «Консультант плюс».

3. Конституция РФ. Принята всенародным голосованием 12.12.1993 г. // СПС «Консультант плюс».

4. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ: текст в ред. от 30.06.2012 // СПС «Консультант плюс».

5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // СПС «Консультант плюс».

6. Борисова С.А. Общие требования при обработке персональных данных работника и гарантии их защиты // Трудовое право. 2017. №11. С. 28 - 36.

7. Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск. 2016. 553 с.

8. Балашкина И.В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. 2017. №7. 215 с.

9. Блоцкий В.Н. Конституционное обеспечение права человека на неприкосновенность частной жизни в Российской Федерации: Автореф. Дис. канд. Юрид. наук. М. 2017. 153 с.

10. Глушкова С.И. Права человека в России: теория, история, практика: учеб. Пособие. Екатеринбург. 2018. 216 с.

11. Ищейнов В.Я. Персональные данные в законодательных и нормативных документах Российской Федерации и информационных системах // Делопроизводство. 2018. №3. 112 с.

12. Кибанов А.Я. Управление персоналом организации: Учеб. 4-е изд., доп. и перераб. М.: Инфра-М, 2017. 135 с.

13. Кужукеева Г.С. Право на частную жизнь и право на свободу выражения: проблемы соотношения. [Электронный ресурс]. URL: http://medialaw.asia.

14. Лушников А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл.14 Трудового кодекса РФ // Трудовое право. 2019. №9. 201 с.

15. Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: Автореф. Дис. на соиск. Уч. ст. канд. Юрид. наук. Воронеж, 2016. 98 с.

16. Орловский Ю.П., Кузнецов Д.Л., Белицкая И.Я., Корякина Ю.С. Кадровое делопроизводство (правовые основы): Практическое пособие / Под ред. Ю. П. Орловского. М.: Контракт, 2019. 186 с.

17. Преображенский, Е. Инсайдер: вариант с заклеиванием USB-порта не поможет / Управление персоналом. 2019. №7. С. 6 - 15.

18. Савинцева М.С. Правовая защита персональной информации граждан в России // Законодательство и практика масс-медиа. 2016. № 9. [Электронный ресурс]. URL: http://www.medialaw.ru/publications

19. Соколова О.С. Проблемы реализации Федерального закона «О персональных данных» // Современное право. 2017. №9. С. 37 - 43.

20. Хачатурян Ю.А. Право работника на защиту персональных данных // Современное право. 2016. №1. С. 40 - 51.

21. Чаннов С.Е. Правовой режим персональных данных на государственной и муниципальной службе // Российская юстиция. 2018. №1. С. 21 - 25.

22. Федосова М.А. Защита персональных данных работника // Фи-нансовые и бухгалтерские консультации. 2017. №11. С. 71 - 78.

Подпишитесь на 9111.ru в Яндекс.Новостях  Подписаться

Автор: Юрист Неретин Николай Николаевич
Нажмите на звезду, чтобы оценить мою публикацию
Проголосовало: 1
Рейтинг 5,00

Читайте также

0 X