Более 25 лет на рынке сертификационных услуг *Более 50 тысяч выданных сертификатов соответствия *Около 70 органов по сертификации и испытательных лабораторий (центров)

Персональные данные

Персональные данные

 

Законодательство Российской Федерации о персональных данных (далее – ПД) основывается на конституции Российской Федерации, Трудовом кодексе Российской Федерации, Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» и других Федеральных законах, определяющих случаи и особенности обработки ПД, целью которых является обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную семейную тайну.

В соответствии с действующим законодательством:

- ПД – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;

- обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

ПД работника включают в себя:

- фамилию имя отчество;

- дату рождения;

- место рождения;

- адрес (по прописке/фактический);

- паспортные данные;

- номер телефона;

- гражданство;

- номер страхового свидетельства (СНИЛС);

- номер ИНН;

- сведения об образовании;

- сведения о трудовой деятельности;

- сведения о доходах (размер заработной платы, другие выплаты);

- сведения о наличии медицинского страхования;

- сведения об актах гражданского состояния (семейное положение, состав семьи);

- сведения относящиеся к воинской службе;

- сведения о состоянии здоровья;

- иные сведения относящиеся прямо или косвенно к физическому лицу

При обработке ПД требуется согласие субъекта на обработку ПД.

Необходимость обработки ПД возникает в основном в связи с трудовыми отношениями при:

- оформлении приема на работу, переводах и прекращении трудового договора;

- установлении условий труда;

- выплате заработной платы и других выплат;

- расчете налогов и страховых отчислений;

- формировании графика отпусков;

- других условиях связанных с трудовой деятельностью.

Основными обязанностями оператора в соответствии с действующим законодательством являются:

1. Назначение ответственного за организацию обработки ПД, основными функциями которого являются:

- осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о ПД, в том числе требований к защите ПД;

- доведение до сведения работников положений законодательства Российской Федерации о ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;

- организация приема и обработки обращений и запросов субъектов ПД или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

2. Издание оператором:

- Политики оператора в отношении обработки ПД;

- локальных актов по вопросам обработки ПД;

- локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Локальные акты должны определять общие принципы обработки ПД, а также определять порядки:

- обработки ПД на бумажных носителях;

- обработки ПД в информационных системах;

- хранения ПД

- передачи ПД

- обработки ПД должностными лицами, непосредственно осуществляющими обработку;

- обработки ПД при нахождении на территории работодателя третьих лиц;

- исправления, удаления, уничтожения, обрабатываемых ПД;

- действий оператора при поступлении запроса требования или отзыва согласия на обработку ПД от работников и иных субъектов ПД;

- реагирования на запросы или обращения субъектов ПД и их представителей, уполномоченных органов по поводу неточности ПД, неправомерности их обработки, отзыва согласия и доступа субъекта ПД к своим данным и др.

3. Применение правовых, организационных и технических мер по обеспечению безопасности ПД к которым относятся:

- определение угроз безопасности ПД при их обработке в информационных системах ПД;

- применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;

- учет машинных носителей ПД;

- обнаружение фактов несанкционированного доступа к ПД и принятие мер;

- восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;

- контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.

4. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПД Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, локальным актам оператора;

5. Оценка вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;

6. Ознакомление работников оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе требованиями к защите ПД, документами, определяющими политику оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников.

7. Опубликование или иным образом обеспечение неограниченного доступа к документам:

- Политике в отношении обработки ПД;

- Сведениям о реализуемых требованиях к защите персональных данных.

С 1 июля 2017 г. за нарушение законодательства Российской Федерации в области ПД предусмотрена административная ответственность. В соответствии с Кодексом Российской Федерации об административных правонарушениях (Ст. 13.11) налагается административный штраф за:

- обработку ПД в случаях, не предусмотренных законодательством Российской Федерации в области ПД, либо обработку ПД, несовместимую с целями сбора ПД;

- обработку ПД без согласия в письменной форме субъекта ПД на обработку его ПД, либо обработку ПД с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта ПД на обработку его ПД;

- невыполнение оператором предусмотренной обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД;

- невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его ПД;

- невыполнение оператором в сроки, установленные законодательством Российской Федерации в области ПД, требования субъекта ПД или его представителя либо уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их блокировании или уничтожении в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- невыполнение оператором при обработке ПД без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПД при хранении материальных носителей ПД и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД.

 

Административный штраф налагается на:

- должностных лиц – от 3 тыс. руб. до 20 тыс. руб.

- юридических лиц – от 15 тыс. руб. до 75 тыс. руб.

 

Стоимость работ по оказанию помощи организации в создании системы управления ПД в зависимости от наличия действующих документов составляет 20 тыс. руб. и более.