Субъект пдн

Содержание

Обработка персональных данных в 2018: как избежать штрафа

Субъект пдн

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Кратко и доступно: что такое персональные данные, их хранение и обработка

Субъект пдн

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам.

Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку.

К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат.

А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email.

Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд.

Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  • Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  • Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  • Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  • Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  • Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  • Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  • Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  • В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

Подробнее об обязанностях оператора ПДн и уровнях защищенности персональных данных можно прочитать в двух других наших статьях: «Как соблюсти 152-ФЗ» и «Защита персональных данных в облаке».

Что является персональными данными и что о них важно знать

  • Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, email, группа крови, фотография.
  • Персональные данные делят на четыре группы. От того, к какой группе они относятся зависит уровень необходимой защиты данных при их хранении и обработке.
  • Хранение ПДн — сохранение их у себя в базах данных или другом месте. Обработка ПДн — любые действия с ними, в том числе сбор, анализ, изменение и удаление.
  • Если вы работаете с персональными данными, то обязаны соблюдать 152-ФЗ о защите персональных данных.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/chto-takoe-personalnye-dannye-ih-hranenie-i-obrabotka

Читать по теме:Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗКак выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдатьЗащита персональных данных в облаке: как сделать все по закону 152-ФЗ

Источник: https://zen.yandex.ru/media/mcs/kratko-i-dostupno-chto-takoe-personalnye-dannye-ih-hranenie-i-obrabotka-5eea796d2ab5ff06f3a830c4

Основные правила работы с персональными данными: принципы, ответственность, безопасность

Субъект пдн

По результатам проверок Роскомнадзора видно, что численность правонарушений в сфере защиты личных данных возрастает, и, следовательно, увеличивается количество штрафов предписанных операторам.

Ниже перечислены самые распространенные нарушения операторов по отношению к персональным данным (ПДн).

  1. Сведения, которые указаны в документах об обработке ПДн не соответствуют.
  2. Не дано согласия субъекта ПД на обработку ПДн.

Рассмотрим новые пункты, внесенные в закон о защите персональных данных. Ниже перечислены уточненные формулировки профессиональных терминов.

  1. Обработка ПДн (автоматизированная) – это обработка персональных данных вычислительными машинами. Вычислительные машины (СВТ) – элементы систем для обработки данных, которые в свою очередь способны работать самостоятельно или являться составляющими других систем.  СВТ различают на технические устройства и программы. Также под закон попадает обработка данных, которая осуществляется без средств автоматизации.
  2. Персональные данные – абсолютно любая информация, которая прямо или косвенно относится к физическому лицу (то есть не только реквизиты физического лица).
  3. Оператор – это госорган, юридическое или физическое лицо, муниципальный орган, который  организует и (или) проводит обработку ПДн, а также определяет для чего именно проводится обработка ПДн.
  4. Работа с ПДн (обработка) – это любые действия (операции), произведенные с персональными данными.
  5. Распространение личных данных – действия, впоследствии которых открываются персональные данные другим лицам, не ограниченным по численности.
  6. Предоставление личных данных – действия, в результате которых открываются персональные данные другим лицам, ограниченным по численности.
  7. Обезличивание личных данных – это не односторонний процесс, в ходе которого, пользуясь дополнительной информацией можно понять принадлежность каких-либо данных к конкретному субъекту персональных данных.
  8. Информационная система личных данных – совокупность информационных технологий и  различных технических средств, с помощью которых обеспечивается обработка ПДн и пдн, содержащихся в базах данных.
  9. Полномочия о принятии законов, касающихся сферы защиты персональных данных переданы Банку России и местным органам власти.
  10. Угроза для безопасности ПДн – сочетание каких-либо условий и различных факторов, которые создают опасность несанкционированного, случайного доступа к ПДн, вследствии  чего могут быть уничтожены, изменены, блокированы и прочее ПДн, а также другие неправомерные действия при обработке в ИСПДн;
  11. Порог (уровень защищенности) ПДн – своеобразная черта, по которой можно судить о «качестве» безопасности ПДн при работе с ними.

Принципы обработки персональных данных.

  1. Обработка должна осуществляться по закону и справедливой основе.
  2. Обрабатываемые ПДн должны быть конкретны.
  3. Обрабатываемые ПДн должны быть краткими.
  4. Оператор должен удалять или уточнять неполные или неточные данные.

Ниже перечислены пункты, в которых рассматривается передача ПДн оператора другому лицу.

  1. Оператор вправе передать обработку ПДн другому лицу только с согласия субъекта ПДн и только на основании заключенного договора.
  2. На лицо, которому поручили осуществление обработки ПДн, возлагаются  установленные законы обработки ПДн. В поручении оператора должно излагаться, какие именно действия должны совершаться лицом. Отметить стоит то, что субъект ПДн должен быть проинформирован, что работой с его ПДн будет заниматься другое лицо.
  3. Однако за действия лица перед субъектом ПДн, которому была поручена обработка, несет ответственность оператор ПДн. А лицо несет ответственность за свои действия перед оператором ПДн.

Согласие субъекта ПДн.

Дать разрешение на обработку ПДн может не только субъект ПДн, но и его представитель.

Состав и перечень мер для того, чтобы обеспечить выполнение обязанностей.

  1. Оператор должен назначить ответственное лицо за обработку ПДн.
  2. Должны иметься документы, из которых будет ясно, как именно оператор будет производить обработку ПДн, к тому же к ним должен быть неограничен доступ.
  3. Оператор обязан применять правовые, технические и организационные меры, для того чтобы обеспечить безопасность ПДн.
  4. Осуществление внутреннего мониторинга, в котором стоит определить соответствует ли обработка ПДн порядку его проведения.
  5. Оценить вред, который может быть причинен субъектам ПДн.
  6. Ознакомить сотрудников оператора с положениями об организации работы с ПДн.

Заниматься разработкой обязательных мер для гос. операторов  поручено Правительству РФ.

Ниже перечислены меры, с помощью которых обеспечивается безопасность ПДн.

  1. Определить угрозы безопасности ПДн при их обработке в системах ПДн.
  2. Обеспечить безопасность ПДн путем организационных и технических мер при работе с ними в информационных системах ПДн.
  3. Оценить соответствие средств защиты информации.
  4. Определить эффективность мер, которые принимаются для того, чтобы обеспечить безопасность персональных данных до ввода в использование информационной системы ПДн.
  5. Учитывать машинные носители ПДн.
  6. Вовремя обнаружить несанкционированный доступ к ПДн.
  7. Принять меры по восстановлению ПДн, модифицированных или уничтоженных из-за несанкционированного доступа к ним.
  8. Создавать правила доступа к ПДн, а также вести регистрацию и читывать все действия, совершаемые с ПДн в ИСПДн.
  9. Должен проводиться контроль над принимаемыми мерами по безопасности ПДн и уровнем защищенности ИСПДн.

Ответственность оператора.

  1. Лица ответственные за какую-либо обработку данных должны быть представлены операторами в уполномоченный орган по защите прав субъектов ПДн не позже 1 января 2013 года.
  2. При изменении сведений, а также о прекращении обработки данных нужно обязательно уведомить территориальный орган Роскомнадзора в течение 10 рабочих дней с даты прекращения работы с персональными данными.
  3. Оператор обязан назначить лицо, ответственное за обработку данных.

Лицо, которое назначено ответственным за обработку ПДн обязано выполнять следующие пункты:

  1. Проводить внутренние проверки, касающиеся соблюдения закона  о ПДн, а также защиты ПДн.
  2. Держать в курсе изменений положений законодательства РФ о ПДн, а также требований о защите ПДн своих работников.
  3. Организовать прием обращений субъектов ПДн или их представителей, а также осуществлять контроль над такими обращениями или запросами.

Отметим еще ряд изменений:

  1. Срок для сообщения оператором субъекту ПДн о наличии ПДн, которые относятся к этому субъекту, увеличен на 20 рабочих дней. В этот же срок оператор имеет право подготовить обоснованный ответ для отказа в предоставлении таких сведений.
  2. Оператор должен в течение 7 дней внести изменения в неполные, неточные или неактуальные сведения и сообщить об этом субъекту ПДн (его представителю);
  3. Оператор должен уничтожить сведения, которые получены незаконно, или являются лишними для заявленной цели обработки по сообщению субъектом ПДн, при том сделать это в срок до 7 рабочих дней.
  4. Оператор должен осуществить блокирование неправомерно обрабатываемых ПДн в случае если устанавливается факт неправомерной обработки ПДн по запросу субъектов ПДн.
  5. Информация по запросу должна быть изложена в течение 30 дней с момента получения запроса.
  6. Увеличен срок для уничтожения ПДн/прекращения их обработки с согласия субъекта ПДн на 17 рабочих дней.

Остались вопросы? Просто позвоните нам:

Вам помогла наша статья? Поделитесь в соц сетях!

Источник: https://pravo812.ru/useful/163-zashchita-personalnykh-dannykh.html

Субъект персональных данных – это кто такой? Форма согласия субъекта персональных данных

Субъект пдн

Персональными данными называют любые сведения, относящиеся к конкретному или определяемому на их основании физлицу. К ним относят Ф. И. О.

, место, дату рождения, семейный, социальный, имущественный статус, адрес проживания, профессию, образование и пр. Субъект персональных данных – это, проще говоря, носитель такой информации.

В качестве источников сведений могут выступать паспорт, медицинская карта, финансовые ведомости и так далее.

Ограниченный доступ

Персональные данные без согласия субъекта не могут вноситься ни в какие документы и базы. С разрешения носителя информации в общедоступные источники могут включаться сведения о его Ф. И. О.

, адресе, месте, дате рождения, абонентском номере и пр. Действующим законодательством гарантируется защита прав субъектов персональных данных.

Лица, осуществляющие сбор и последующую работу с такими сведениями, за нарушение конфиденциальности сведений несут ответственность, вплоть до уголовной.

Операторы

Они осуществляют сбор и работу с информацией, относящейся к личности гражданина. Субъекты обработки персональных данных – муниципальные или госструктуры, физлица и организации.

Они не только осуществляют работу с информацией, но и определяют цели и содержание тех или иных операций с информацией.

При этом для совершения каких-либо действий оператор должен получить согласие субъекта персональных данных.

Доступ к личным сведениям

Одна из возможностей, которой наделен субъект персональных данных, – это получение информации об операторе. Носитель сведений может знать адрес нахождения, наличие соответствующих сведений у лица. Аналогичными возможностями обладает представитель субъекта персональных данных.

Полномочия этого лица должны подтверждаться документами, оформленными в соответствии с законодательными требованиями. Ознакомление со сведениями, которыми располагает оператор, – еще одна возможность, которой обладает субъект персональных данных. Это необходимо, в частности, для проверки достоверности сведений.

Эта возможность может быть ограничена только в случаях, прямо предусмотренных законодательством. Носитель информации может предъявить требование оператору о ее уточнении, блокировании или уничтожении.

Эта возможность реализуется в случаях, когда сведения являются устаревшими, неполными, незаконно полученными, недостоверными, не являются необходимыми для целей, заявленных оператором.

Субъект персональных данных – это главный участник операций с информацией о его личности. В соответствии с этим, он может предпринимать законные меры по обеспечению охраны сведений и предотвращению ущерба его личности, доброму имени, репутации.

Предоставление информации

Сведения о наличии данных у оператора должны передаваться субъекту в доступной форме. Не допускается включение в них личной информации других лиц.

Предоставление доступа к сведениям возможно по запросу субъекта-носителя данных или его поверенного.

Заявление должно содержать информацию об основном документе, подтверждающем личность гражданина, – номер, дату и место выдачи, наименование уполномоченной структуры. В запросе в обязательном порядке ставится подпись субъекта.

Если от его имени действует другое лицо, приводятся сведения о документе, подтверждающем полномочия. Подпись в заявлении в таком случае ставит представитель. Обращение может направляться в электронном виде. В этом случае заявление должно содержать цифровую подпись.

Перечень доступных сведений

Субъект вправе получить информацию, содержащую разные данные. К ним, в том числе, относят:

  1. Подтверждение факта работы с личными сведениями и ее цель.
  2. Методы обработки данных, используемые оператором.
  3. Сведения о работниках, имеющих доступ к информации, или которым он может быть предоставлен.
  4. Перечень сведений, с которыми осуществляется работа, источники их получения.
  5. Срок обработки и хранения имеющихся данных.
  6. Сведения о юридических последствиях работы с информацией.

Предписания законодательства

Как выше было сказано, право на доступ к личным данным может ограничиваться. Это происходит, если:

  1. Работа с информацией, полученной в рамках разведывательной, оперативно-розыскной, иной подобной деятельности производится для обороны страны, обеспечения ее безопасности и охраны порядка в обществе.
  2. Обработку данных осуществляют сотрудники, задержавшие субъекта по подозрению в преступлении, или предъявившие ему обвинение, или применившие к нему одну из существующих мер пресечения. Исключение составляют случаи, закрепленные УПК.
  3. Предоставление информации нарушит конституционные свободы и права третьих лиц.

Сбор информации

Законодательство может предусматривать обязанность субъекта предоставить свои данные для обработки. В таких случаях оператор должен разъяснить лицу последствия отказа от выполнения предписаний.

Если информация была получена не от носителя, кроме случаев, когда она была предоставлена на основании ФЗ, или если она является общедоступной, лицо, осуществляющее сбор сведений, должно предоставить следующие данные субъекту:

  1. Наименование оператора и его адрес (для физлиц – Ф. И. О.).
  2. Цель работы с информацией, юридическое основание.
  3. Потенциальные пользователи сведений.
  4. Права субъекта, установленные законодательством.

Меры безопасности

Оператор обязан использовать все доступные и допустимые средства, которыми обеспечивается защита прав субъекта персональных данных. В частности, он должен применять криптографические приемы, предотвращающие случайный либо незаконный доступ к сведениям, их уничтожение, блокирование, изменение, распространение и копирование.

Требования к безопасности данных при их обработке, к материальным носителям, технологиям хранения устанавливаются Правительством. Надзор за исполнением предписаний возлагается на исполнительную федеральную структуру власти в рамках ее компетенции.

Орган по защите прав субъектов персональных данных осуществляет контроль без возможности ознакомления со сведениями.

Работа с заявлениями

Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных. На операторов, работающих с информацией, возлагается ряд обязанностей.

В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных.

Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.

В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ.

В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание.

Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.

При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.

Устранение нарушений

При выявлении недостоверных сведений, обнаружении незаконных действий оператора при обращении либо по заявлению субъекта/его представителя к уполномоченной структуре о блокировке, она должна быть проведена незамедлительно.

Заинтересованное лицо может предоставить документы, в соответствии с которыми информация может быть уточнена. Если выявлены незаконные действия оператора, он в трехдневный срок с момента их обнаружения обязан устранить нарушения. Если это сделать не представляется возможным, сведения полежат уничтожению.

Это действие должно быть совершено в течение трех дней с даты обнаружения нарушений.

При достижении цели, для которой была необходима обработка данных, оператор обязан немедленно прекратить всю работу с информацией.

При этом он должен уничтожить сведения в трехдневный срок, если другое не предусматривается законодательством. О совершенных действиях оператор уведомляет субъекта или его представителя.

Если обращение либо заявление были направлены уполномоченной структурой, реализующей функции в сфере безопасности личных сведений, то извещается и она.

Форма согласия субъекта персональных данных

Разрешение лица на работу с его личными сведениями может предоставляться в любом виде, позволяющем подтвердить факт получения, если другое не закрепляется ФЗ № 152.

В своих разъяснениях Роскомнадзор (орган по защите прав субъектов персональных данных) рекомендует оформлять его письменно. Требования к документу присутствуют в 9 статье указанного выше Закона.

В письменное согласие включают:

  1. Ф. И. О., адрес лица, сведения о документе, подтверждающем личность (номер, серия, дата выдачи и наименование учреждения, его оформившего).
  2. Информацию о представителе субъекта. Кроме Ф. И. О., адреса, сведений о паспорте, приводятся реквизиты доверенности.
  3. Наименование либо адрес, Ф. И. О. оператора.
  4. Цель обработки личной информации.
  5. Перечень сведений, на работу с которыми дает разрешение их носитель.
  6. Наименование либо адрес и Ф. И. О. лица, осуществляющего обработку информации по поручению оператора.
  7. Конкретные действия, которые будут совершаться с информацией. Должно присутствовать также общее описание способов, используемых оператором при обработке данных.
  8. Период, в течение которого действует разрешение, если другое не устанавливается законодательством.
  9. Подпись субъекта-носителя данных.

Разрешение может предоставляться в электронном виде. В этом случае документ удостоверяется цифровой подписью.

Ответственность за неисполнение предписаний законодательства

Лицам, признанным виновными в нарушении требований ФЗ № 152, могут вменяться санкции в соответствии с действующими нормами. В частности, ст. 13.11 КоАП предусматривает наказания за незаконные сбор, хранение, использование, распространение сведений о гражданах. В качестве самой мягкой санкции выступает предупреждение. Кроме этого, ст. 13.11 предусматривает штрафы для:

  • физлиц – 300-500 р.;
  • служащих – 500-1 000 р.;
  • организаций – 5-10 тыс. р.

Моральный вред субъекту персональных данных, возникший в связи с ущемлением его интересов, нарушением предписаний действующего законодательства, подлежит возмещению в рамках гражданского судопроизводства. Его компенсация осуществляется вне зависимости от взыскания имущественного ущерба и понесенных убытков.

Уведомление о работе с информацией

До начала обработки данных оператор должен известить уполномоченную структуру (Роскомнадзор) о своем намерении. Исключение из этого правила закреплены в ч. 22 статьи ФЗ № 152. Оператор может не уведомлять уполномоченный орган, если он работает с данными:

  1. Относящимися к лицам, с которыми он связан трудовыми отношениями.
  2. Полученными при заключении договора, в качестве одной из сторон которого выступает субъект данных. При этом действует оговорка. Информация, полученная оператором, не должна распространяться и передаваться третьим лицам. Она используется исключительно для реализации условий договора и оформления соглашений с субъектом-носителем сведений.
  3. Относящихся к участникам религиозной или общественной организации. При этом полученная информация не должна распространяться без их разрешения.
  4. Являющимися общедоступными.
  5. Включающими только Ф. И. О. носителя.
  6. Необходимыми для однократного пропуска лица на территорию, где располагается оператор, либо в других подобных целях.
  7. Содержащимися в информационных базах, имеющих статус автоматизированных систем.
  8. Обрабатываемыми без применения средств автоматизации, согласно ФЗ или других нормативных актов, предусматривающих требования к безопасности информации при работе с ней и соблюдению интересов ее носителей.

Оформление уведомления

Извещение должно быть оформлено письменно. Оно подписывается уполномоченным служащим. Допускается направление уведомления в электронном виде. В этом случае оно заверяется цифровой подписью. В извещении необходимо указать:

  1. Наименование (Ф. И. О.) и адрес оператора.
  2. Цель работы со сведениями.
  3. Категории данных, которые будут обрабатываться.
  4. Юридическое основание для работы со сведениями.
  5. Категории лиц-носителей информации.
  6. Перечень конкретных действий оператора.
  7. Описание мер, которые будут предприняты для обеспечения безопасности сведений.
  8. Дату начала работы с информацией.

В уведомлении также должен присутствовать срок прекращения либо условие, при котором завершается обработка личных данных.

Источник: https://FB.ru/article/319423/subyekt-personalnyih-dannyih---eto-kto-takoy-forma-soglasiya-subyekta-personalnyih-dannyih

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.