Персональные данные: понятие, порядок и цели обработки. положения об использование, сроках хранения и защите конфиденциальной информации по нормам 115 фз

Из этого материала вы узнаете:

• Что такое персональные данные
• Что указано в законе о хранении персональных данных
• Каковы плюсы и минусы хранения персональных данных в электронном виде
• В чём особенности хранения персональных данных работников в организации в электронном и бумажном носителе в 2019 году

Хранение персональных данных — задача не сложная, однако требующая от исполнителя четкого соблюдения всех правил и норм. К тому же, если их нарушить, можно получить крупный штраф. Законодательство РФ регулирует отношения в области хранения и обработки личных данных человека.

Следовать данным нормам и правилам важно, вдобавок необходимо постоянно актуализировать эту информацию. Законы часто подвергаются изменениям, а также в них регулярно вносятся поправки.

Из нашей статьи вы сможете узнать всю необходимую информацию относительно хранения и обработки личных данных человека.

Что такое персональные данные

Персональные данные, они же личные данные (далее по тексту ПД и ЛД), — информация, которая непосредственно связана с конкретным человеком.

Нашу жизнь уже невозможно представить без автоматизированных систем управления. Данные физических лиц постоянно попадают в различные базы и часто из них плавно утекают.

• Чтобы защитить данную информацию физического лица, был создан федеральный закон, регулирующий порядок хранения и использования персональных данных.
• Такое понятие, как персональные данные, — прежде всего юридический термин, нежели технический.
• Как следствие, стала проще процедура защиты и снизились риски проникновения в личные данные сторонних лиц.

На сегодняшний день обработкой данных физлиц занимаются:

• Банки.
• Работодатели.
• Органы государственной власти.
• Другие организации, работа которых налагает обязанности по сбору и хранению персональных данных человека.

Работа с данной информацией обязательно должна быть организована с учетом всех норм и правил независимо от задач, требующих использования данной информации.

Среднестатистический человек чаще всего предоставляет свои личные данные для обработки в банковские учреждения. И в случае если становятся очевидны нарушения его прав, выход из положения — только судебные разбирательства. Одно неверное действие может привести к фатальным последствиям.

«Аутсорсинг персонала: виды, плюсы и минусы» Подробнее

Желательно перед посещением учреждений, требующих предоставления личной информации — изучить нормативные акты, регулирующие обработку личных данных. Это даст вам возможность самостоятельно проконтролировать свои права в полном объеме.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в ст. 3 дает определение персональным данным. Исходя из него ПД — любая информация, которая прямо или косвенно относится к субъекту ПД — определенному или определяемому физлицу (дальше по тексту — закон о персональных данных).

К общим личным данным относятся такие сведения, как:

• ФИО;
• место и дата рождения;
• адрес места жительства (регистрации);
• профессия, уровень образования;
• фото человека (видеозаписи), которые позволяют установить личность и с этим умыслом использоваться оператором (разъяснения Роскомнадзора от 30.08.2013 года «О вопросах отнесения фотографий, видеозаписей, дактилоскопических данных и других сведений к биометрическим личным данным и особенностей их обработки»);
• наличие детей, семейное положение, ближайшие родственники;
• предыдущие места работы, армейская служба, работа на выборных должностях, государственная служба, наличие судимости и другие факты из биографии;

Источник: https://sales-generator.ru/blog/khranenie-personalnykh-dannykh/

Нормативная база для работы с конфиденциальными документами

Конфиденциальность информации – понятие объемное. Оно охватывает разные отрасли экономики и сферы общественной жизни, для каждой из которых есть свои особенности правового регулирования.

Предлагаем вашему вниманию обзор российского законодательства, который поможет разобраться в том, какие данные следует отнести к конфиденциальной информации и какие законы определяют сохранность конфиденциальности.

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в широком понимании информация подразделяется на общедоступную информацию и информацию ограниченного доступа. В зависимости от порядка ее предоставления или распространения она подразделяется на:

• информацию, свободно распространяемую;
• информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
• информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
• информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Говоря о нормативном регулировании работы с информацией ограниченного доступа, важно помнить, что ограничения на доступ к такой информации устанавливаются только федеральными законами (ст. 5, п. 2 Закона об информации). Законодательно установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.

Законодательство РФ в области государственной тайны и конфиденциальной информации

Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации регулируются Законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне».

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В Законе об информации дается определение конфиденциальности информации, под которым понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Виды конфиденциальной информации

Виды конфиденциальной информации установлены Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». К ней относятся:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Секрет производства (ноу-хау), то есть сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности.

Персональные данные

Нормативно-правовые акты:

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
• Трудовой кодекс Российской Федерации
•  Федеральный закон от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния»
• Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ

В соответствии с Федеральным законом от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных», персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (глава 14), где, в частности, говорится, что работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Положение о неразглашении персональных данных содержится и в Федеральном законе «Об актах гражданского состояния» от 15 ноября 1997 г.

№ 143-ФЗ, где говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат (ст. 12).

Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ (ст.

137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Сведения, составляющие тайну следствия и судопроизводства

Нормативно-правовые акты:

Источник: http://naar.ru/articles/normativnaya-baza-dlya-raboty-s-konfidentsialnymi-dokumentami/

Какие оптимальные сроки хранения и обработки персональных данных? Сколько действует согласие субъекта?

В Российской Федерации функционирует понятие персональных данных, оно закреплено на законодательном уровне и сопряжено с рядом норматив.

Утвержден порядок хранения ПДн физических лиц и период, в который хранение должно быть прекращено.

Условия завершения обработки персональной информации или конкретные временные рамки операций определяют операторы в соответствии с профильными законодательными актами правительства. Актуальные сведения о сроках при работе с конфиденциальными данными в нашей стране, порядке из фиксации в документах вы найдете в нашем материале.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92. Это быстро и бесплатно!

Временные рамки, связанные с ПДн

Положение 7 статьи 5 Федерального закона «О персональных данных» предусматривает среди принципов обработки и следующий – хранение ПДн должно осуществлять не дольше, чем того требуют цели операции с информацией.

Кроме этого, период хранения ПДн в некоторых случаях закрепляется федеральным законом, договором, субъектом которого является владелец персональных данных. Оператор устанавливает конкретные временные рамки или вписывает условие для прекращения обработки.

Что выбрать: время хранения или условия прекращения?

Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.

Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.

Например, на сайте интернет-магазина проводится анкетирование, субъекту ПДн предлагается указать область проживания, покупки за последний год, возраст, ФИО и так далее. Магазин планирует использовать сведения для статистического анализа своей успешности за последний год. После завершения анализа, сведения ему больше не понадобятся и будут ликвидированы.

При составлении такого договора учитывается то, что на проведение анализа понадобится шесть месяцев. После этого интернет-магазин прекращает обработку данных, выполнив цель, с которой они были собраны. Для похожих прецедентов есть и другой вариант – установить условие завершения обработки, например, указать, что после проведения аналитических работ сведения прекратят обрабатывать.

Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.

Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.

Оговариваемые периоды

Сколько действует согласие работника, клиента, пациента?

Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.

Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.

Сколько должны храниться ПДн?

Также важно, что в некоторых случаях фирма не работает со сведениями постоянно, и хранение сопряжено с задачей обеспечить доступ к персональным материалам в любое удобное время и в форме, делающей возможной их обработку.

В документации оператор обозначает сроки хранения, а также операцию, которая будет проведена после выполнения цели – обезличивание информации либо ее уничтожение. Отметим, что под обезличиванием сведений подразумевается перевод материалов в форму, не позволяющую распознать к кому она точно относится.

Какой период отводится на обработку?

Обработка данных непосредственно связана с хранением ПДн, ведь именно хранение обеспечивает доступ к данным с целью их обработки. В законе «О персональных данных» сказано, что оператор должен установить единый период для обеих операций. Если обработка прекращается с наступлением некоторого события, то оператор берет на себя обязанности в дальнейшем не хранить сведения.

Оператор не может указывать разные сроки или условия для прекращения хранения и обработки. Если хранение, например, прекращается после двух лет, то и обработка не может больше проводиться – по техническим причинам. Точно так же и период обработки связан с хранением.

Предположим, предприятие взяло на себя обязанности обрабатывать сведения на протяжении одного года, если после наступления этого срока он продолжит хранить информацию – значит нарушит условия соглашения с физическим лицом.

Хранение является операцией, входящей в понятие «обработка» и, более того, делает ее возможной и комфортной.

Оператор имеет право продлевать любой из периодов, указанных выше, но для этого компании следует выполнить несколько требований. Условия и нюансы продления срока прописываются в «Политике в отношении обработки персональных данных». Субъект ПДн, согласно действующему законодательству, имеет право в любой момент ознакомиться с этим документом.

Другими словами, оператору разрешается менять сроки, имея на то основания и продолжая использовать конфиденциальную информацию только в рамках актуальных законодательных актов.

Компания, собирающая персональные данные, вправе выбрать как автоматическое продление, например, данного субъектом разрешения, так и ручное (с дополнительным уведомлением). При этом, физическое лицо, владеющее информацией, не лишается возможности в любой момент отозвать согласие.

Как видите, профильный закон в Российской Федерации устанавливает четкие требования относительно указания периодов и дат хранения и обработки ПДн. Вместе с тем, на операторов налагается обязанность уведомить субъекта о времени действия его собственного соглашения на обработку информации.

• Сама продолжительность хранения – законом не регламентируется, к ней предъявляется только одно требование: хранить не дольше, чем требуется для достижения целей обработки.
• Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас: 
• +7 (499) 938-47-92 (Москва) 

Это быстро и бесплатно!

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/i-ih-sroki.html

Персональные данные

В соответствии с Федеральным законом «О персональных данных»: «Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя. отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, друга я информация» [22].

Указанный Федеральный закон установил критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав физических лиц — субъектов персональных данных в связи с обеспечением общественных интересов, безопасности государства и общества.

Следует отметить, что действие этого закона не распространяется на о 1 ношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну. Более подробно о доступе к архивным конфиденциальным документам — персональным данным изложено в разд. 4.5.

Биометрические персональные данные — это сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность, например дактилоскопические данные (отпечатки пальцев): информация, полученная на полиграфе (детекторе лжи), и др. Биометрические персональные данные, за некоторым исключением (например, отпечатки пальцев преступников и т.д.), могут обрабатываться только при наличии согласия в письменной форме физического лица.

Технологии обработки персональных данных. Обработка персональных данных — это действия (операции или технологии) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и их уничтожение.

• Использование персональных данных — действия с ними, совершаемые оператором в целях принятия решений, или иные действия, порождающие юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающие права и свободы этого субъекта или других физических лиц.
• Распространение персональных данных действия, направленные на их передачу определенному кругу лиц либо ознакомление с ними неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ним каким-либо иным способом.
• Обезличивание персональных данных — действия, в результате которых невозможно определить их принадлежность конкретному физическому лицу.
• Блокирование персональных данных — временное прекращение их сбора, систематизации, накопления, использования, распространения, в том числе их передачи.

Уничтожение персональных данных — действия, в результате которых либо невозможно восстановить их содержание в ЛИС. либо уничтожаются материальные носители персональных данных.

Организация обработки персональных данных осущесталяется оператором. Помимо организации и непосредственно обработки персональных данных, операторы определяют цели и содержание обработки.

Оператор это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.

Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при их сборе, а также объединение созданных для несовместимых между собой целей баз данных ЛИС.

Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. Однако в отдельных случаях согласия субъекта на обработку не требуется, например при обработке кадровой документации в организации, где работает этот субъект.

Хранение персональных данных должно осуществляться в форме, позволяющей определять физическое лицо, не дольше, чем этого требуют цели обработки этих данных. По достижении целей обработки или в случае утраты необходимости в достижении этих целей последние подлежат уничтожению.

Обработка персональных данных должна осуществляться при следующих двух условиях.

Первое условие: оператор может выполнять ее только с согласия субъектов персональных данных, за исключением случаев, когда обработка осуществляется:

• · в целях исполнения договора, одной из сторон которого является субъект персональных данных (например, трудового договора или служебного контракта — для государственных служащих);
• · для статистических или иных научных целей при условии обязательного их обезличивания — действия, в результате которых невозможно определить их принадлежность к конкретному субъекту персональных данных;
• · для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, при невозможности получения согласия субъекта:
• · для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи:
• · в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных:
• · в целях опубликования в соответствии с законодательством о государственной службе, в том числе персональных данных о замещающих государственные должности, или должности государственной гражданской службы, а также о кандидатах на выборные государственные или муниципальные должности.

Второе условие — если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности этих данных и безопасности при их обработке.

Особенности технологии обработки персональных данных, осуществляемой без использования средств автоматизации, Обработка персональных данных, содержащихся в АИС персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персонал ьн ы м и дан н ы м и. ка к их испол ьзова н ие, уточнение, распространение, уничтожение в отношении каждого из физических лиц — субъектов персональных данных, осуществляются при непосредственном участии человека [78].

Правила работы (обработки) с документированными персональными данными, осуществляемой без использования средств автоматизации. должны быть установлены нормативными правовыми актами федеральных органов исполнительной власти.

Персональные данные при их обработке должны обособляться от иной документированной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков) документов.

При фиксации персональных данных на материальных носителях не допускается фиксация на одном носителе данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку' персональных данных (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими указанных данных, их категориях, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами государственных и негосударственных структур и локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

• · типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию. имя, отчество и адрес физического лица — субъекта персональных данных, источник их получения, сроки обработки, перечень действий, которые будут совершаться в процессе обработки этих данных, общее описание используемых оператором способов их обработки:
• · типовая форма должна предусматривать поле, в котором физическое лицо при необходимости получения письменного согласия может поставить отметку о своем согласии на обработку своих персональных данных, осуществляемую без использования средств автоматизации, — на обработку персональных данных (см. разд. 4.4.1);
• · типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, содержащимися в документе, не нарушая прав и законных интересов других субъектов персональных данных — физических лиц:
• · типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска физического лица на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

Необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, способы фиксации и состав информации, запрашиваемой у физических лиц, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных физическим лицом:

• · копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается:
• · персональные данные каждого физического лица могут заноситься в такой журнал (книгу реестр) не более одного раза в каждом случае пропуска его на территорию, на которой находится оператор.

При невозможности обработки персональных данных, зафиксированных на материальном носителе, который не позволяет осуществлять их обработку- отдельно от других размещенных на том же носителе данных, должны быть приняты меры по обеспечению их раздельной обработки, в частности:

• · при необходимости использования или распространения конкретных персональных данных отдельно oi находящихся на том же материальном носителе других данных осуществляется их копирование способом, который исключает одновременное копирование персональных данных. не подлежащих распространению и использованию, и в дальнейшем используется (распространяется) эта копия:
• · в случае необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель, но предварительно производится копирование сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование техданных, которые подлежат уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может выполняться способом, исключающим дальнейшую их обработку с сохранением возможности обработки иных данных, зафиксированных на этом носителе (удаление, вымарывание).

Уточнение персональных данных производится путем обновления или изменения их на материальном носителе, а если это не допускается его техническими особенностями, то с помощью фиксации на нем сведений о вносимых изменениях либо изготовления нового носителя (документа) с уточненными персональными данными.

Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории этих данных можно было определить места их хранения (материальных носителей) и установить перечень лиц. осуществляющих их обработку* либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При обработке биометрических персональных данный осуществляемой без использования средств автоматизации и вне информационных систем, для каждой их категории должен использоваться отдельный материальный носитель |79].

Материальный носитель должен обеспечивать:

• · защиту от несанкционированной повторной и дополнительной записи информации после извлечения из ЛИС биометрических персональных данных:
• · возможность доступа к персональным данным, записанным на материальный носитель оператора и лиц, уполномоченных на работу с ними;
• · возможность идентификации автоматизированной информационной системы персональных данных, в которую произведена их запись, а также оператора, осуществившетх) такую запись:
• · невозможное тьнесанкционированнотидостутта к персональным данным, содержащимся на материальном носителе.

Конфиденциальность персональных данных. Операторы, обеспечивающие обработку персональных данных, и третьи лица, получающие доступ к персональным данным, обязаны соблюдать их конфиденциальность, за исключением случаев:

• · обезличивания персональных данных — действий, в результате которых становится невозможным определение принадлежности персональных данных конкретному физическому лицу:
• · использования общедоступных персональных данных, доступ к которым определен неограниченным крутом лиц и предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Общедоступными источниками персональных данных являются также источники, созданные в целях информационного обеспечения. например справочники, адресные книги. В них.

с письменного согласия субъекта персональных данных, могут быть указаны его фамилия, имя и отчество, год и место рождения, адрес, абонентский номер и иная предоставленная им информация.

В любое время эти сведения могут быть исключены из общедоступных источников персональных данных по требованию физического лица либо по решению суда или иных уполномоченных государственных органов.

Конфиденциальность персональных данных — это обязательное для соблюдения оператором или иным получившим доступ к ним лицом требование не допускать их распространения без согласия физического лица или наличия иною законного основания.

В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным требованием договора является обязанность обеспечения указанным лицом регламентированною доступа к персональным данным, их конфиденциальности и защиты при обработке.

Федеральным законом «О персональных данных» устаноапен запрет на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем установления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без получения предварительною согласия физическою лица — субъекта персональных данных.

Ирм выявлении неправомерных действии с персональными данными в обязанности оператора входит устранение допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выяыения.

Если нзрутиения устранить невозможно, то оператор в указанный срок обязан уничтожить персональные данные.

Если цель обработки персональных данных была достигнута, оператор обязан незамедлительно прекратить их обработку и уничтожить в срок, не превышающий трех рабочих дней с даты достижения цели их обработки.

Источник: https://studwood.ru/825189/pravo/personalnye_dannye

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

• В целях настоящего Федерального закона используются следующие основные понятия:
• 1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• 2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• 3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• 4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• 5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• 6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• 7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• 8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• 9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Постановление Верховного Суда РФ от 21.03.2017 N 91-АД17-2
Требование: Об отмене судебных актов по делу об административном правонарушении, предусмотренном ст. 13.

11 КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Решение: Требование удовлетворено в части исключения выводов о виновности общества в нарушении ч. 7 ст. 5, ч. 4 ст.

21 Закона о персональных данных в связи с истечением срока давности привлечения к административной ответственности за совершение данных нарушений.

Согласно статье 3 названного Федерального закона персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Решение: Производство по делу прекращено, поскольку водительское удостоверение изъято у лица после заключения трудового договора с обществом, однозначный вывод о том, что обществу было известно о лишении лица права управления транспортными средствами, сделать нельзя.

В статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» указано, что персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, информация о привлечении к административной ответственности физических лиц относится к персональным данным и может быть получена только с их согласия.

Определение Верховного Суда РФ от 11.10.2016 N 307-ЭС16-10608 по делу N А56-63610/2015
Требование: О пересмотре в кассационном порядке судебных актов по делу о признании незаконным отказа предоставить формы на граждан, проживающих в корпусах жилого дома.

Решение: В передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ отказано, поскольку не доказаны конкурсным управляющим права и наличие оснований для получения истребуемой информации, а также обязанности директора ответчика по удовлетворению такого требования в любом случае.

Источник: https://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/glava-1/statja-3/

Каков срок охраны коммерческой и служебной тайны?

Срок охраны коммерческой и служебной тайны — важный временной параметр, ограничивающий преждевременное разглашение конфиденциальных сведений. Кем, когда и как он устанавливается — узнайте из нашего материала.

• Срок действия режима конфиденциальности информации: термины и определения
• Что относится к коммерческой и служебной тайне?
• Для чего нужно охранять конфиденциальные сведения?
• Нормативные требования к срокам засекречивания конфиденциальных сведений
• Каким документом может устанавливаться срок охраны секретной информации?
• С какой даты отсчитывается срок охраны сведений ограниченного доступа?
• Где проставляется отметка о начале и окончании режима конфиденциальности?
• Отдельные нюансы установления и прекращения срока защиты конфиденциальных сведений
• Итоги

Срок действия режима конфиденциальности информации: термины и определения

Под сроком охраны информации понимается временной период, в течение которого в отношении информации ее обладателем (или законным пользователем) проводится комплекс специальных мероприятий по защите от несанкционированного разглашения или утечки.

Спецмероприятия носят название режима сохранения информации (коммерческая тайна, служебная тайна, государственная тайна, профессиональная тайна), а понятие «обладатель информации» означает лицо:

• самостоятельно создавшее информацию;
• либо получившее право ею распоряжаться (ограничивать к ней доступ или разрешать).

Право распоряжаться информацией лицо может получить на основании:

• закона (например, законы о гостайне, о коммерческой тайне и др.); или
• договора.

Вышеуказанные термины и определения могут уточняться и (или) иметь специфическое толкование в зависимости от того, к какому виду информации они относятся. К примеру, в законе «О коммерческой тайне» от 29.07.2004 № 98-ФЗ термин «обладатель информации» расшифровывается как лицо:

• владеющее коммерческой информацией на законном основании;
• ограничившее к ней доступ;
• установившее в отношении этой информации режим коммерческой тайны.

С особенностями расшифровки терминов «коммерческая информация» и «служебные сведения», а также иными сопутствующими определениями вас познакомит следующий раздел.

Знакомство с разнообразной терминологией вам обеспечат размещенные на нашем сайте материалы:

Что относится к коммерческой и служебной тайне?

В соответствии с пунктами 3–5 Перечня, утвержденного Указом Президента РФ от 06.03.1997 № 188, информация, составляющая служебную и коммерческую тайну, считается сведениями конфиденциального характера (СКХ).

Источник: https://nalog-nalog.ru/spravochnaya_informaciya/kakov_srok_ohrany_kommercheskoj_i_sluzhebnoj_tajny/

Положение о защите персональных данных

Актуально на: 24 июля 2017 г.

Персональные данные – это различного рода информация, которая относится к определенному физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Как и любая другая информация, персональные данные обрабатываются, т. е.

происходит их сбор, систематизация, накопление, хранение, передача, уничтожение и т.д. Для того, чтобы обработка персональных данных не могла нарушить права и свободы гражданина, в т.ч. права на неприкосновенность частной жизни, личную и семейную тайну, требуется должная защита персональных данных.

Актуальной эта тема является и для всех работодателей, ведь они, по сути, постоянно занимаются обработкой тех или иных персональных данных своих работников.

Важность этой области подтверждается тем, что в ТК РФ вопросам защиты персональных данных работников посвящена отдельная глава – гл. 14 «Защита персональных данных работника». О защите персональных данных в организациях расскажем в нашей консультации и приведем образец Положения о защите персональных данных работников 2017.

Политика обработки и защиты персональных данных работников

Общие требования к обработке персональных данных работника, а также вопросы защиты персональных данных на предприятии содержатся в ст. 86 ТК РФ.

Так, ТК РФ устанавливает, в частности, следующие аспекты обработки и защиты персональных данных:

• обработка персональных данных работника производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• все персональные данные работника нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
• работодатель должен за свой счет обеспечивать защиту персональных данных работника от неправомерного их использования или утраты;
• работодатель должен под роспись ознакомить работников и их представителей с порядком обработки персональных данных работников, а также с их правами и обязанностями в этой области.

При этом требования к защите персональных данных работников не могут рассматриваться в отрыве от вопросов передачи персональных данных. Так, работодатель при передаче персональных данных работника обязан соблюдать определенные требования.

К ним, в частности, относятся (ст. 88 ТК РФ):

• по общему правилу не сообщать персональные данные работника третьей стороне без письменного согласия работника;
• предупреждать лиц, которые получают персональные данные работника, что эти данные могут использоваться лишь в целях, для которых были сообщены;
• передавать персональные данные работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• разрешать доступ к персональным данным работников лишь специально уполномоченным лицам;
• не запрашивать информацию о состоянии здоровья работника (кроме случаев, связанных с проверкой возможности выполнять работником трудовую функцию).

В то же время, согласие работника на передачу персональных данных требуется не всегда. Так, согласие не требуется, когда передача персональных данных необходима для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ) или необходима на основании других Федеральных законов (сюда относятся, к примеру, сведения в ПФР, ФСС, налоговые органы и т.д.).

Ответственность за нарушение требований по защите персональных данных

Ответственность за нарушения требований по обработке и защите персональных данных работника разнообразная. Она касается, как работников, так и самого работодателя.

К примеру, работник может быть уволен за разглашение ставших известными ему при исполнении своих трудовых обязанностей персональных данных другого работника. Ведь это будет считаться грубым нарушением работником своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).

А, например, обработка персональных данных в случаях, не предусмотренных законодательством РФ, может повлечь штраф на должностных лиц от 5 000 до 10 000 рублей, а на организацию-работодателя – от 30 000 рублей до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Источник: https://glavkniga.ru/situations/k504612