Основные участники обработки персональных данных

Статья на тему: "Основные участники обработки персональных данных" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

Основные правила обработки персональных данных

Roman Samborskyi / Shutterstock.com

Несмотря на то, что согласие субъекта необходимо для обработки его персональных данных, есть несколько случаев, при которых допускается их обработка и без такого согласия:

  • если это необходимо для достижения целей, предусмотренных международным договором или законом – например, обработка работодателем персональных данных своих сотрудников (ст. 86 Трудового кодекса);
  • в связи с исполнением судебного акта или участием лица в судопроизводстве;
  • для исполнения полномочий госорганов и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, включая регистрацию на едином портале госуслуг и (или) региональных порталах государственных и муниципальных услуг;
  • для заключения и (или) исполнения договора;
  • для защиты жизни, здоровья или иных жизненно важных интересов лица, если получить его согласие невозможно;
  • если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта;
  • при осуществлении журналисткой, научной, литературной и иной творческой деятельности, если это не нарушает права и законные интересы лица;
  • в статистических или иных исследовательских целях при условии обязательного обезличивания данных;
  • если персональные данные сделаны субъектом общедоступными;
  • при опубликовании или обязательном раскрытии информации в соответствии с законом – например, при совершении нотариальных действий (ч. 1 ст. 6 закона о персональных данных).

СОДЕРЖАНИЕ

Оператор может обрабатывать персональные данные как самостоятельно, так и поручить это с согласия субъекта третьему лицу (ч. 3 ст. 6 закона о персональных данных). В договоре при этом следует определить перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, требования к защите обрабатываемых персональных данных. Кроме того, необходимо отдельно прописать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.

Получать согласие субъекта на обработку его персональных данных лицу, осуществляющему обработку персональных данных по поручению оператора, в этом случае не нужно (ч. 4 ст. 6 закона о персональных данных). Но даже если обработка поручена другому лицу, ответственность перед субъектом лежит все равно на операторе (ч. 5 ст. 6 закона о персональных данных).

БЛАНК

Договор поручения на обработку персональных данных третьим лицом
Другие бланки

Что касается передачи персональных данных за рубеж, закон ограничивает трансграничную передачу персональных данных, допуская ее осуществления лишь на территории стран-участников Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и определенных Роскомнадзором иностранных государств, хоть и не являющихся участниками этой Конвенции, но обеспечивающих адекватную защиту прав субъектов персональных данных (ст. 12 закона о персональных данных). Однако даже в отношении этих стран трансграничная передача данных может быть запрещена или ограничена, если это требуется в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов граждан, а также обеспечения безопасности страны.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Вместе с тем есть ряд случаев, при которых трансграничная передача персональных данных возможна и на территории тех государств, которые не обеспечивают адекватную защиту прав субъектов персональных данных. Это допускается:

  • при наличии письменного согласия субъекта персональных данных;
  • если это предусмотрено международными договорами;
  • если это предусмотрено федеральными законами и необходимо в целях защиты основ конституционного строя, обеспечения безопасности государства и т. д.;
  • при исполнении договора, стороной которого является субъект персональных данных;
  • для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, если получить письменное согласие на это невозможно.

Источник: http://www.garant.ru/actual/persona/obrabotka/

Порядок обработки персональных данных

Понятие и способы обработки персональных данных

Персональные данные — это любые сведения личного характера, относящиеся к конкретному физическому лицу. В законе «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) отсутствует точный перечень таких сведений.

В качестве примера можно назвать следующие:

  • фамилия, имя, отчество;
  • адрес места жительства;
  • профессия и доход;
  • дата рождения, любые значимые даты (вступление в брак, рождение детей и т. д.);
  • реквизиты документов, удостоверяющих личность;
  • права на объекты недвижимого имущества;
  • биометрические данные и многие другие.

В процессе деятельности граждане практически постоянно обмениваются своими данными и вынуждены предоставлять их всюду: при устройстве на работу — работодателю, при оплате коммунальных платежей — управляющей компании и поставщикам услуг, при заключении любых договоров — контрагентам, оказывающим услуги.

Важно! Под обработкой персональных данных следует понимать любые действия и операции, которые с ними производятся.

Перечень возможных способов обработки персональных данных приведен в ст. 3 закона № 152-ФЗ и не является исчерпывающим:

  • запись;
  • хранение;
  • распространение и передача;
  • удаление;
  • изменение и др.

Эти действия могут производиться как с использованием автоматизированной техники, так и без него.

Гражданин обращается в медицинскую организацию для обследования и заключает договор об оказании медицинских услуг. Он предоставляет свои паспортные данные, а также личные сведения о состоянии своего здоровья, заключения, результаты обследований и т. д. Сотрудник медицинского центра вносит данные в базу, распечатывает договор, где фигурируют эти данные, направляет по адресу электронной почты гражданину результаты его анализов. Все эти действия представляют собой не что иное, как обработку персональных данных гражданина.

Читайте так же:  Возмещение убытков и потерь сельскохозяйственного производства

Основные условия обработки персональных данных

Так как персональные данные носят сугубо личный характер, законом № 152-ФЗ установлено, что любая обработка персональных данных, в чем бы она ни выражалась, должна производиться исключительно при соблюдении нескольких условий.

Цель обработки

Любые личные данные должны собираться и обрабатываться с конкретной целью (ч. 2 ст. 5 закона № 152-ФЗ). Цель обработки персональных данных должна быть законной и определенной заранее. Соответственно цели определяется и объем собираемых данных (ч. 5 ст. 5 закона № 152-ФЗ). Так, в приведенном нами примере про медицинскую организацию оправданной будет обработка ею данных о здоровье лица, перенесенных им заболеваниях, но совершенно неоправданной, например, о месте его работы и размере дохода.

Срок хранения и иных операций по обработке также должен определяться целью. Если цель достигнута, оператор обязан уничтожить персональные данные (ч. 7 ст. 5 закона № 152-ФЗ). Например, если договор на оказание услуг расторгнут, медицинский центр должен удалить данные о своем клиенте.

Точность данных

Обработка персональных данных не должна приводить к искажению информации о предоставившем ее человеке (ч. 6 ст. 5 закона № 152-ФЗ). Сведения должны храниться и передаваться точными.

Конфиденциальность

Важнейшим правилом обработки персональных данных является соблюдение строгой конфиденциальности. Это означает, что лицо, непосредственно осуществляющее действия по обработке, обязано сохранять тайну сведений и не распространять их без согласия лица.

Согласие субъекта на обработку данных

Любая обработка личных сведений может быть осуществлена только с предварительного согласия лица. Обычно такое согласие субъекту предлагают подписать в виде письменного документа на бумажном носителе. Однако допускается взятие согласия в электронном виде с электронной подписью (ч. 4 ст. 9 закона № 152-ФЗ). Согласие субъекта является правовым основанием обработки персональных данных.

Любой субъект, давший согласие, в любой момент может передумать и отозвать его, что будет означать для оператора запрет на обработку персональных данных. В то же время в ряде случаев оператор вправе продолжить использование данных даже после отзыва согласия, например, если данные используются в связи с расследованием уголовного дела, исполнением судебного акта, оказанием государственной услуги и т. д. (пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ).

Уведомление об обработке персональных данных

Кроме соблюдения оператором всех вышеперечисленных условий на него возлагается также обязанность направить в Роскомнадзор уведомление об обработке персональных данных. Уведомление составляется по форме, утвержденной приказом Роскомнадзора «Об утверждении методических рекомендаций по уведомлению…» от 30.05.2017 № 94 (приложение 1). Оно является дополнительной гарантией прав субъектов, доверивших личную информацию о себе операторам.

Между тем в ряде случаев уведомление об обработке персональных данных не требуется (ч. 2 ст. 22 закона № 152-ФЗ):

  1. При обработке работодателями данных работников, причем как уже работающих по трудовому договору, так и потенциальных, то есть соискателей. Из буквального толкования п. 1 ч. 2 вышеназванной статьи следует, что если работодатель каким-либо образом обрабатывает информацию, не связанную непосредственно с трудовыми отношениями, то такое уведомление ему следует направить. Например, работодателю могут быть известны некоторые факты об уплате алиментов, наличии у работника судимостей и т. д.
  2. Обработке данных, полученных при заключении договора.
  3. Обработке общественными и религиозными организациями данных об их членах.
  4. Если субъект сам уже сделал свои данные общедоступными.
  5. Если получены только данные о фамилии, имени и отчестве.
  6. Данные взяты только для однократного прохода или проезда на территорию.
  7. Данные включаются в государственные автоматизированные системы.
  8. Обработка осуществляется без использования средств автоматизации.
  9. Данные предоставлены для обеспечения работы транспортной системы, например при покупке билетов.

Ответственность за незаконную обработку персональных данных

Нарушения установленного порядка обработки персональных данных влекут различные виды ответственности. Наиболее распространены случаи возникновения административной ответственности по Кодексу об административных правонарушениях РФ.

Нарушение законодательства об обработке персональных данных также может повлечь уголовную ответственность по ст. 137, 140, 272 Уголовного кодекса РФ.

Если такие нарушения привели к причинению убытков или морального вреда, то возникает и гражданско-правовая ответственность (ст. 15, 151 Гражданского кодекса РФ, ст. 24 закона № 152-ФЗ).

Работник, разгласивший личные сведения о своем коллеге, может быть привлечен к дисциплинарной ответственности в виде увольнения (подп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ).

Итак, обработка персональных данных представляет собой любые действия, производимые с ними, начиная с их получения и заканчивая распространением. Обработка данных должна совершаться строго с соблюдением определенных условий, нарушение которых влечет административную, гражданско-правовую, дисциплинарную и уголовную ответственность.

Источник: http://rusjurist.ru/personalnye_dannye/poryadok-obrabotki-personalnyh-dannyh/

Виды персональных данных

Защита персональных данных
с помощью DLP-системы

П редоставлять свои персональные данные и давать согласие обрабатывать их зачастую нужно в самых различных инстанциях – в банках, кредитных организациях, во время внесения информации в регистрационные формы на некоторых интернет-ресурсах. Многие, не задумываясь, соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации недобросовестными лицами. Поэтому важно знать, какие виды персональных данных существуют, кому и при каких обстоятельствах можно их предоставлять, чтобы не попасть в очень неприятную историю.

Законодательное регулирование

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

Читайте так же:  Исковая давность налог на имущество

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

  • необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
  • находятся в архивной документации;
  • принадлежат к данным, составляющим государственную тайну;
  • должны быть предоставлены по судебному акту.

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

  • фамилию, имя, отчество;
  • место регистрации и жительства;
  • информацию из паспорта;
  • сведения об имеющемся образовании;
  • информацию о месте работы;
  • сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др. Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить. Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

  • дактилоскопические;
  • анализ ДНК;
  • группу крови;
  • рост, цвет глаз, вес и др.


К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни. Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил. Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации. Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами. Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Читайте так же:  Каким шрифтом писать исковое заявление в суд

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Обработка ПД

Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:

  • фиксации факта приема сотрудника на работу;
  • удостоверения оснований для продвижения по карьерной лестнице;
  • подтверждения оснований для выплаты зарплаты;
  • осуществления контроля выполнения производственных заданий и работ.

Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.

Типы персональных данных на предприятии

На предприятии необходимо собрать два типа ПД:

  • требуемых для заключения трудового договора;
  • запрашиваемых и формируемых непосредственно работодателем.

ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:

  • о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
  • копии документов по пенсионному государственному страхованию;
  • о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).

Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.

При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.

Ответственность за разглашение

Видео удалено.
Видео (кликните для воспроизведения).

152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии. Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом. Данное наказание выражается незначительными суммами.

Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.

Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

Обработка персональных данных юридического лица

Защита персональных данных
с помощью DLP-системы

И ногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.

Читайте так же:  Долг по кредиту судебный приказ

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой , в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной , в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной , наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1. изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2. включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3. внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4. включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Персональные данные

I. ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика обработки персональных данных ООО «УК «Уралэнерго» Общества (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «УК «Уралэнерго» Обществе (далее – Общество, Оператор) персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
  2. Политика разработана с учетом требований, предъявляемых действующим законодательством Российской Федерации к обработке персональных данных.
  3. Политика распространяется на персональные данные, полученные как до, так и после подписания настоящей Политики.
  4. Политика является внутренним документом Общества, общедоступной и подлежит размещению на официальном сайте Общества.

II. ЦЕЛЬ ПОЛИТИКИ

  1. Обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Обществом.

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

IV. ОБЛАСТЬ ПРИМЕНЕНИЯ

  1. Политика предназначена для изучения и исполнения всеми сотрудниками Общества, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Обществом, партнеров и других заинтересованных сторон.

V. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Соблюдение трудового, налогового и пенсионного законодательства Российской Федерации, ведение бухгалтерского и кадрового учета.
  2. Принятие решения о возможности заключения трудовых договоров с лицами, претендующими на открытые вакантные должности.
  3. Подготовка, заключение, исполнение и прекращение договоров с контрагентами.
  4. Предоставление клиентам информации по товарам/услугам, проходящим акциям и специальным предложениям.
  5. Исполнение требований законодательства Российской Федерации.

VI. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ

  1. Работники Общества.
  2. Родственники работников Общества, персональные данные которых необходимы в целях выполнения требований законодательства Российской Федерации, участия в корпоративных мероприятиях.
  3. Кандидаты на замещение вакантных должностей.
  4. Клиенты и контрагенты Общества (физические лица).
  5. Покупатели интернет-магазина shop.u-energo.ru.
  6. Представители клиентов и контрагентов (юридических лиц) Общества.

VII. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ

  1. Перечень обрабатываемых персональных данных определяется в соответствии с законодательством Российской Федерации и утвержден локальным нормативным актом Общества.
  2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
  3. Биометрические персональные данные (фотография, дактилоскопические отпечатки пальцев), которые используются Обществом для установления личности субъекта персональных данных, могут обрабатываться Обществом только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных данных».
Читайте так же:  Срок обжалования отмены судебного приказа мирового судьи

VIII. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

IX. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

X. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Общество осуществляет неавтоматизированную обработка персональных данных, автоматизированную обработку персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, смешанную обработку персональных данных.

XI. ПЕРЕЧЕНЬ ДЕЙСВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

  1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

XII. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Получение полной информации, касающейся обработки своих персональных данных в Обществе, в том числе о сроках их обработки и хранения.
  2. Доступ к своим персональным данным, включая право на получение копии любой записи, содержащей свои персональные данные, за исключением случаев, предусмотренных федеральным законом.
  3. Получение по своему запросу или запросу представителя информации о своих персональных данных в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  4. Уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  5. Отзыв своего согласия на обработку персональных данных.
  6. Принятие предусмотренных законом мер по защите своих прав.
  7. Осуществление иных прав, предусмотренных законодательством Российской Федерации.

XIII. МЕРЫ, ПРИМЕНЯЕМЫЕ ОБЩЕСТВОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА

  1. Назначение лица, ответственного за организацию обработки персональных данных в Обществе.
  2. Издание локальных нормативных актов и иных документов в области обработки и защиты персональных данных.
  3. Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
  4. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
  5. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам Общества.
  6. Исполнение необходимых правовых, организационных и технических мер или обеспечение их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  7. Иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

XIV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных и по решению руководства Общества.

Источник: http://www.u-energo.ru/policy/

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Видео удалено.
Видео (кликните для воспроизведения).

Источник: http://www.garant.ru/actual/persona/

Основные участники обработки персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here