Использование персональных данных посторонним лицом

Бизнес-конференции РБК

Использование персональных данных посторонним лицом

Политика в отношении обработки персональных данных
и реализации требований к защите персональных данных

1. Общие положения и термины, используемые в Политике

1.1. Настоящий документ определяет Политику Закрытого акционерного общества «РОСБИЗНЕСКОНСАЛТИНГ» (далее – «Общество») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее – «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. В настоящей Политике используются следующие основные понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные.

2. Принципы обработки персональных данных в Обществе:

2.1. Обработка персональных данных осуществляется на законной и справедливой основе;

2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.5. и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

2.7.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

2.8. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использование баз данных, находящихся на территории Российской Федерации.

Источник: https://bc.rbc.ru/agreement

Берегите свои документы

Использование персональных данных посторонним лицом

Управление Роскомнадзора по Республике Татарстан

Сегодня на пиратских рынках можно в изобилии увидеть диски со всевозможными базами данных, на которых вы можете обнаружить и свою фамилию с самой, казалось бы, недоступной для посторонних лиц информацией.

Как это случилось вопрос правоохранительных органов, но вот, как этого избежать гражданину, и как обеспечивает его безопасность в этой области, рассказывает в беседе с нашим корреспондентом руководитель Управления Роскомнадзора по РТ Айрат Зарипов.

– Что подразумевается под понятием «персональные данные»?

– Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу – субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ИНН, паспортные данные, данные военного билета, страхового свидетельства, мед. полиса и т.п.).

– Как гражданам избежать посягательств на эти сведения и как обеспечивает их безопасность в этой сфере государство?

– В целях обеспечения личной безопасности гражданин обязан:

– бережно хранить личные документы, содержащие персональные данные;

– не отдавать свой паспорт или его ксерокопию, водительское удостоверение, свидетельство ИНН, страховое свидетельство обязательного пенсионного страхования, полис медицинского страхования, военный билет, удостоверение участника войны, удостоверение участника боевых действий, удостоверение на ордена и т.п. посторонним лицам, которые могут использовать их против субъекта персональных данных в кредитных историях, при осуществлении денежных переводов, для получения различных выплат, при оформлении льгот и т.п.);

– не передавать с использованием сотового, домашнего или рабочего телефонов, в виде SMS, MMS, по факсу или в виде звукового сообщения данные документов, удостоверяющих личность, содержащие персональные данные;

– внимательно читать документы, которые он лично подписывает (договоры, расписки и т.п.);

– требовать устранения обнаруженных нарушений, допущенных оператором при обработке персональных данных, при необходимости направить жалобу в адрес уполномоченного органа по защите прав субъектов персональных данных;

– внимательно читать информацию в газетах, журналах, на Интернет сайтах, смотреть и слушать передачи о положении дел с защитой персональных данных.

В целях защиты своих персональных данных гражданин должен убедиться в том, что оператор, осуществляющий или намеревающийся осуществлять обработку персональных данных, будь то государственный или муниципальный орган, юридическое лицо или индивидуальный предприниматель, включен в реестр операторов, осуществляющих обработку персональных данных.

Убедиться в этом можно на официальном сайте уполномоченного органа по защите прав субъектов персональных данных по адресу http://rsoc.ru/personal-data/register/. Оператор, зарегистрированный в реестре, обязуется соблюдать обязательные требования по защите персональных данных граждан.

Для передачи персональных данных третьим лицам оператор должен:

– получить письменное согласие от гражданина на обработку его персональных данных в рамках трудового договора, контракта, договора на оказание услуг;

– убедиться в том, что третье лицо включено в реестр операторов, осуществляющих обработку персональных данных, что оно тоже обязуется соблюдать условия конфиденциальности полученных им персональных данных согласно договору.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

– К каким учреждениям чаще предъявляют претензии граждане?

– Чаще всех пренебрегают исполнением требований по защите информации персонального характера организации, оказывающие услуги в сфере жилищно-коммунального хозяйства: управляющие компании, расчетные центры, банки и коллекторские организации, операторы сотовой связи, туристические агентства и операторы, редакции средств массовой информации, учреждения здравоохранения.

В 2010 году Управлением Роскомнадзора по Республике Татарстан рассмотрено 8 жалоб подобного рода. В 4-х случаях факты нарушений подтвердились, в 2-х случаях виновные операторы привлечены к ответственности судебными органами.

– Чем для граждан может обернуться утечка закрытой информации персональных данных?

– Персональные данные могут быть использованы в преступных целях, таких как вымогательства, подделка кредитных историй и т.п.

Существующая ситуация способствует широкому распространению мошенничества, направленного против самых различных категорий граждан – престарелых, инвалидов, предпринимателей, автомобилистов и детей.

Мошенничество с использованием персональных данных не оставляет в покое даже умерших.

– Предусматривается ли ответственность лиц, нарушивших закон «О персональных данных»?

– Ответственность за нарушение требований в области персональных данных определена статьей 24 Федерального закона «О персональных данных» – лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке (часть 2 статьи 17 Федерального закона «О персональных данных»; статья 151 Гражданского кодекса Российской Федерации).

В соответствии со статьей 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа до 10 тысяч рублей.

В соответствии со статьей 19.

7 КоАП РФ непредставление или несвоевременное представление в государственный орган или должностному лицу сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или в искаженном виде, влечет наложение административного штрафа до пяти тысяч рублей.

За нарушение же неприкосновенности частной жизни предусмотрена более суровая ответственность в соответствии со статьей 137 Уголовного кодекса РФ.

Например: незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или в средствах массовой информации, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Подробная информация о видах ответственности за нарушения требований в области персональных данных, предусмотренных законодательством Российской Федерации, размещена на сайтах Роскомнадзора: rkn.gov.ru; pd.rkn.gov.ru; 16.rkn.gov.ru.

За разъяснениями можно обратиться в Управление Роскомнадзора по Республике Татарстан по телефонам (843) 228-59-06 или (843) 228-72-92 или задать вопрос, направив его по электронной почте: onopd@gsnrt.ru, rsoc16@rsoc.ru, ugsn@gsnrt.ru.

ВЛАДИМИР ТИЛЛЬ

Ссылка на статью

Источник: https://16.rkn.gov.ru/directions/oficialnye-vystullenija/p7961/?print=1

Персональные данные: что грозит за нарушение закона

Использование персональных данных посторонним лицом

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Публичная политика по обработке и защите персональных данных граждан СПб ГКУ «Организатор перевозок»

Использование персональных данных посторонним лицом

  • Конституцией Российской Федерации;   * Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. Федерального закона от 25.07.2011 N 261-ФЗ);* Постановлением Правительства Российской Федерации от 1 ноября 2012 г.

    №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;* Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

    * Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;* Руководящим документом ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

    Утвержден Заместителем директора ФСТЭК России 15 февраля 2008 г.;* Руководящим документом ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утвержден Заместителем директора ФСТЭК России 14 февраля 2008 г.

    ;

    * «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)» ФСТЭК России;

    * Руководящими документами ФСБ РФ. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утвержден руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144.

    2 ТЕРМИНЫ

    Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

    Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

    Примечание: Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку технических средств.

    Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно, или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Персональные данные – любая информация относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

    Система защиты информационных систем – совокупность программных, аппаратных и технических средств защиты информации, используемых для обеспечения информационной безопасности информационных систем.

    Субъект персональных данных – лицо, обработка персональных данных которого осуществляется оператором персональных данных: клиенты (физические лица/их представители); сотрудники СПБ ГКУ «ОРГАНИЗАТОР ПЕРЕВОЗОК» и другие физические лица, предоставляющие свои персональные данные для обработки организацией).

    Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

    Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    3 ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН СПб ГКУ «ОРГАНИЗАТОР ПЕРЕВОЗОК»

    3.1 Основания и цели обработки персональных данных граждан

    Основаниями для обработки персональных данных граждан в СПб ГКУ «Организатор перевозок» являются:

    * Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

    * Социальный кодекс Санкт-Петербурга;

  • Источник: http://orgp.spb.ru/public_policy/

    Политика обработки персональных данных в ао «москва медиа»

    Использование персональных данных посторонним лицом

    1.1.Настоящий документ определяет Политику Акционерного общества «Москва Медиа» (далее – «Общество») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее – «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    1.2. В настоящей Политике используются следующие основные понятия:

    персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

    распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные

    носители персональных данных;

    обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные.

    Пользователь – физическое лицо, получившее в установленном порядке доступ к сервисам интернет-сайтов Общества

    1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЩЕСТВЕ:

    2.1.Обработка персональных данных осуществляется на законной и справедливой основе;

    2.2.Обработка персональных данных ограничивается достижением конкретных, заранее

    определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

    2.3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

    2.4.Обработке подлежат только персональные данные, которые отвечают целям их обработки;

    2.5. и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

    2.6.При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

    2.7.

    Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

    2.8.При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

    1. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ:

    Источник: https://www.m24.ru/policy

    Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

    Использование персональных данных посторонним лицом

    ФИО и любая другая личная информация о гражданине – это персональные данные.

    Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

    За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

    Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

    Что такое персональные данные?

    Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

    Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

    Но обычно к ним принято относить:

    • фамилию, имя, отчество;
    • адрес проживания;
    • электронный адрес;
    • номер телефона;
    • дата рождения;
    • место рождения;
    • национальность;
    • вероисповедание;
    • место работы;
    • должность;
    • рост;
    • вес;
    • и т.д.

    Как должен защищать персональные данные отдел кадров

    Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

    Итак, кадровым сотрудникам следует:

    1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
    2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
    3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
    4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

    Как избежать претензий со стороны контролирующих органов и сотрудников

    Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

    Если компания имеет дело лишь с персональными данными:

    • сотрудников, работающих по трудовым договорам;
    • работающих по договорам ГПХ;
    • и иными физическими лицами.

    Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

    Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

    1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
    2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
      • Приказ о назначении ответственного за организацию обработки персональных данных;
      • Документ, определяющий политику оператора в отношении обработки персональных данных;
      • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
      • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
      • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
      • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
      • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
      • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
      • Документ о классификации информационных систем;
      • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
      • Документ, устанавливающий порядок обработки персональных данных работников.

    Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

    1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
    2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

    Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

    Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

    ), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

    Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

    Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

    Добросовестный провайдер:

    • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

    Важно!

    Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

    • Ознакомит со своей Политикой в отношении персональных данных клиентов.
    • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

    Важно!

    Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

    Ответственность за нарушение закона 152-ФЗ

    Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

    За что могут штрафовать

    Сумма штрафа

    Персональные данные обрабатываются не в тех целях, на которое дано согласие

    Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.

    от 30 000 до 50 000 руб.

    Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)

    от 15 000 до 75 000 руб.

    Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)

    от 15 000 до 30 000 руб.

    Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)

    Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.

    от 20 000 до 45 000 руб.

    Нарушены условия защиты бумажных документов, содержащих персональные данные

    Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.

    от 25 000 до 50 000 руб.

    Что говорят суды о плохо защищенных персональных данных

    • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

    Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

    Вопрос права
    Добавить комментарий