Условия обработки персональных данных. Обработка персональных данных
Основные принципы обработки персональных данных перечислены в статье 5 ФЗ №152. Помимо общеправовых принципов законности и справедливости, на федеральном уровне закреплена необходимость целевого подхода к обработке персональных данных и недопустимость обработки, несовместимой с целями сбора персональных данных. Законодатель также отмечает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, а обрабатываемые персональные данные не могут быть избыточными.
Статья 86 ТК РФ содержит закрытый перечень целей обработки персональных данных работника:
- · обеспечение соблюдения законов и иных нормативных правовых актов;
- · содействия работников в трудоустройстве;
- · получение образования и продвижения по службе;
- · обеспечение личной безопасности работников;
- · контроль количества и качества выполняемой работы;
- · обеспечение сохранности имущества.
Соответственно, обработка персональных данных, выходящая за рамки обозначенных целей, не допустима. Использование такого механизма в трудовых отношениях обеспечивает защиту персональных данных работника от произвольного сбора и обработки.
Пункт 3 статьи 5 Закона о персональных данных устанавливает запрет на объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Анализируя этот принцип, можно прийти к выводу, что работодатель обязан сортировать персональные данные работников и организовать хранение их таким образом, чтобы при обработке определенной категории доступ осуществлялся к персональным данным, соответствующим цели.
Следующим из закрепленных ФЗ №152 является принцип точности, достаточности и актуальности персональных данных по отношению к целям их обработки. Достаточными сведения можно считать, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Причем в пункте 6 статьи 5 ФЗ №152 прямо установлена обязанность оператора принимать необходимые меры по удалению или уточнению неполных или неточных данных.
Очевидно, что персональные данные работника в процессе трудовых отношений могут меняться, к примеру, работник может поменять фамилию или получить дополнительное образование. Согласно постановлению Минтруда РФ от 10.10.2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек" изменения записей в трудовых книжках о фамилии, имени, отчестве производятся на основании паспорта, свидетельств о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их номер и дату. Таким образом, работодателю необходимо своевременно узнавать об изменениях в полученных документах работника.
Однако, действующее законодательство не предоставляет работодателю право требовать у работника сведений об изменениях его персональных данных. Некоторые ученые предлагают в этой связи закрепить в статье 22 ТК РФ право работодателя на получение от работника информации, связанной с осуществлением работником его трудовой функции. По нашему мнению наделение работодателя таким правом является нарушением конституционного принципа неприкосновенности частной жизни. К тому же, работодатель вправе, воспользовавшись нормой статьи 8 ТК РФ, установить обязанность работника предоставлять сведения об изменениях персональных данных в целях их уточнения и актуализации. Причем такое требование может действовать только в отношении информации, которая уже имеется в распоряжении работодателя.
В связи с тем, что обработка персональных данных осуществляется для достижения определенной цели, логично, что вопрос дальнейшего хранения обработанной информации носит срочный характер. Так, возникает принцип срочного хранения персональных данных. Как сказано в пункте 7 статьи 5 ФЗ № 152 хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. В трудовых отношениях сроки хранения персональных данных работников устанавливает работодатель с соблюдением требований ТК РФ и иных федеральных законов.
Обрабатывая персональные данные, важно выполнять условия, закрепленные в Законе о персональных данных, статья 6 которого содержит перечень случаев, когда такая обработка будет считается законной. В частности, пункт 1 указанной статьи устанавливает возможность обработки персональных данных с согласия субъекта персональных данных, а пункт 5 допускает обработку персональных данных в случае, когда она необходима для исполнения договора, стороной которого является субъект персональных данных. В связи с тем, что трудовые отношения осуществляются на основании договора между работником и работодателем, можно сделать вывод, что согласие работника для обработки персональных данных в ходе трудовых отношений не требуется.
Роскомндзор в своем Разъяснении по поводу обработки персональных данных работников отмечает, что обработка персональных данных работника не требует получения согласия, при условии, что объем обрабатываемых работодателем персональных данных соответствует целям обработки, предусмотренным трудовым законодательством, и не превышает установленные перечни. Далее по тексту приводятся примеры ситуаций, когда работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника:
- · в случаях, предусмотренных коллективным договором, правилами внутреннего трудового распорядка, соглашением, локально-нормативными актами работодателя, принятыми в порядке, установленном статьей 372 Трудового кодекса. По правилу статьи 68 ТК РФ работник должен быть ознакомлен с локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, и коллективным договором до подписания трудового договора;
- · обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством РФ. Так, медицинские организации обязаны информировать граждан в доступной форме, в том числе с использованием сети "Интернет", о работающих в ней медицинских работниках, а также об их уровне образования и об их квалификации;
- · обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой работника, либо в установленных законодательством случаях, например, оформление допуска к государственной тайне или оформление социальных выплат;
- · обработка специальных категорий персональных данных работника в рамках трудового законодательства, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции;
- · обработка персональных данных работника при осуществлении пропускного режима на территорию работодателя, если организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локально-нормативным актом работодателя.
Кроме того, не требует согласие работника обработка персональных данных, необходимая для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве, что подтверждается судебной практикой. Так, анализируя нормы действующего законодательства, суд пришел к выводу о правомерности действий работодателя по предоставлению сведений об истце без его согласия адвокату, представлявшему интересы потерпевшей стороны в рамках уголовного дела на основании адвокатского запроса, поскольку названные сведения были переданы суду в связи с осуществлением правосудия.
Трудовой кодекс содержит указание о необходимости получения письменного согласия работника в случае, если его персональные данные возможно получить только у третьей стороны. Причем работник должен быть уведомлен об этом заранее (пункт 3 статьи 86 ТК РФ). В таком уведомлении необходимо указать:
- - цели получения персональных данных работника у третьего лица;
- - предполагаемые источники информации (лица, у которых будут запрашиваться данные);
- - способы получения данных, их характер;
- - возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.
Информацию, не имеющую отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.
В части первой статьи 88 установлен запрет на передачу персональных данных работника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, и в других случаях, предусмотренных ТК РФ или иными федеральными законами. Под «другими случаями» в указанной статье понимается передача персональных данных в ФФОМС и ФСС России - это связано с тем, что работодатель, согласно статье 22 Трудового кодекса, обязан осуществлять обязательное социальное страхование работников. Кроме того, работодатель вправе без согласия работника передавать его персональные данные в Пенсионный фонд РФ; налоговые органы; в военные комиссариаты; при получении мотивированных запросов от прокуратуры, правоохранительных органов, профсоюзов о его членах, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, а также в случаях, связанных с выполнением работником должностных обязанностей, в том числе, при его командировании. При несчастном случае с работником работодатель обязан проинформировать соответствующие органы и организации, а при тяжелом несчастном случае (или смерти) -- его родственников. В данной ситуации согласия работника на передачу его персональных данных также не требуется (статья 228 ТК РФ).
Таким образом, в распоряжении работодателя находится большой массив персональных данных работника, которые он вправе обрабатывать без согласия работника для обеспечения своей деятельности.
Однако, в ходе трудовых отношений встречаются случаи, не предусмотренные законодательством и поэтому требующие согласия работника, например, трансграничная передача персональных данных. Такое согласие может быть оформлено письменно как в виде отдельного документа, так и закреплено в качестве одного из условий непосредственно в трудовой договор. Кроме того, необходимо соблюдать требования, предъявляемые к его содержанию статьей 9 Закона о персональных данных, в частности согласие должно быть конкретным, информированным и сознательным, а также предоставляться по воле и в интересах их субъекта. К обязательным реквизитам письменного согласия на обработку персональных данных относятся:
- 1) фамилия, имя, отчество, адрес, сведения о документе, удостоверяющем личность работника;
- 2) фамилия, имя, отчество, адрес сведения о документах, удостоверяющих личность представителя работника, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя работника);
- 3) наименование работодателя;
- 4) цель обработки персональных данных;
- 5) перечень персональных данных, на обработку которых дается согласие;
- 6) наименование третьего лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- 7) перечень действий с передаваемыми персональными данными, общее описание используемых способов их обработки;
- 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- 9) подпись субъекта персональных данных.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Министерство образования и науки российской федерации
Иркутский государственный университет путей сообщения
Институт информационных технологий и моделирования
Кафедра «Информационная безопасность»
Курсовая работа
по дисциплине «Организационное и правовое обеспечение информационной безопасности»
тема: «Условия обработки персональных данных»
Выполнил:
студент группы БИ-4-12-1
Мондодоев Семен Викторович
Проверил: научный руководитель
к.э.н. Глухов Николай Иванович
Иркутск2014
Введение
В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для нашей страны. Это связано с тем, что 26 января 2007 года вступил в силу Федеральный закон "О персональных данных". В этом законе сформулированы требования по защите персональных данных. Важно отметить, что требования данного закона являются обязательными и для коммерческих, и для государственных организаций. персональные данные кадровый
Кроме того, стоит отметить, что Федеральный закон "О персональных данных" не является единственным нормативно-правовым актом, регламентирующим положение о персональных данных. Существует ряд документов, к которым относятся: Постановление правительства РФ от 1 ноября 2012 года №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и нормативные и методические документы ФСТЭК и ФСБ России. Согласно этим документам, обеспечение безопасности персональных данных является неотъемлемой и обязательной частью работ по созданию и поддержке информационных систем.
Цель данной курсовой работы изучение условий обработки персональных данных. В связи с выбранной целью я поставил себе следующие задачи:
· Дать определение персональным данным
· Дать определение обработке персональных данных
· Рассмотрение статьи 5 "Принципы обработки персональных данных" Федерального закона "О персональных данных"
· Рассмотрение и изучение статьи 6 "Условия обработки персональных данных" Федерального закона "О персональных данных"
Определение обработки персональных данных
Обработка персональных данных -- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных в России
В 90-х годах в России персональные данные сотрудников и клиентов организаций спокойно продавались на дисках. Их можно было купить на рынке или в подземном переходе. В 90-е годы законодательство РФ не предполагало какой-либо ответственности за разглашение конфиденциальной информации. Впервые понятие «персональные данные» упоминается в российском законодательстве в указе Президента «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. В этом указе лишь перечисляется то, что относится к конфиденциальной информации, но там ничего не сказано ни об обработке персональных данных, ни о видах ответственности за неправомерную обработку.
В 2001-м году Государственной Думой был принят Трудовой Кодекс РФ, в котором глава 14 посвящена защите персональных данных работников. В этой главе было определено понятие «обработка персональных данных работника» следующим образом:
Обработка персональных данных работника -- получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Согласно Трудовому Кодексу РФ работодатель не имеет права на обработку персональных данных без ведома и согласия работника, не может получать данные о его религиозных, политических и иных убеждениях, а также несёт ответственность за потерю, искажение и неправомерную обработку персональных данных.
Следующим важным шагом было принятие Федерального закона N 152-ФЗ от 27 июля 2006 года «О персональных данных». Цель этого закона -- обеспечение защиты прав и свобод человека, при обработке его персональных данных.
Определение персональных данных и их категории
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В настоящее время практически в каждой организации в информационных системах хранятся и обрабатываются различные данные о сотрудниках, клиентах, партнерах и т.п., такие как, например, фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное и социальное положение, сведения об образовании, профессии, информация о доходах и другие персональные данные.
Кроме того, рядовые граждане зачастую сами не заботятся о сохранении своих персональных данных. В наш век широкого использования интернета и различных коммуникационных сетей, для получения определенной информации необходимо предоставление своих данных. Мы регистрируемся на различных сайтах, оставляем свои данные в магазинах, совершая покупки. Например, при получении кредита, мы вынуждены предоставить не только базовые данные об имени, фамилии и месте работы, но и также данные членов семьи и других лиц. Также наши данные записываются в больницах, школах, ВУЗах. Это только небольшой перечень мест, где эти данные необходимы.
Возникает вопрос: какое же количество людей имеет доступ к персональным данным других лиц? Это могут быть не только сотрудники учреждений, в которых хранятся данные. Нашими данными может завладеть практически любой человек и в дальнейшем использовать их с неблаговидной целью. Таких примеров масса. Необходимость закона, регламентирующего защиту данных, очевидна. Персональные данные каждого лица должны быть защищены. Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты.
Остановимся поподробнее на специальных категориях персональных данных. Обработка специальных категорий персональных данных, которая касается расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается,но существует ряд исключений, если, субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; если персональные данные субъекта являются общедоступными; персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно; если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; если обработка персональных данных необходима в связи с осуществлением правосудия и; если обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Теперь остановимся на другой категории данных - биометрических персональных данных. Федеральным законом "О персональных данных" представлено следующее определение:
Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность
Обработка таких данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Использование биометрических технологий в последние годы стало очень популярным. Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многие государства вводят в обращение паспорта с биометрическими данными. Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.
Федеральный закон "О персональных данных"
Статья №5 Принципы обработки персональных данных
Принципы обработки персональных данных изложены в ст. 5 гл. 2 Федерального закона "О персональных данных". Эти принципы таковы:
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Статья №6. Условия обработки персональных данных
Условия обработки персональных данных изложены в ст. 6 гл. 2 Федерального закона "О персональных данных". Эти условия таковы:
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1.1 Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
1.2 Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
1.3 Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
1.4 Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
1.5 Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
1.6 Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
1.7 Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
1.8 Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
1.9 Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
1.10 Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
1.11 Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Права субъекта персональных данных
Субъектом персональных данных может являться только физическое лицо. Одним из важнейших прав субъекта является право субъекта персональных данных на доступ к своим персональным данным.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных оператором, а также цель такой обработки
· способы обработки персональных данных, применяемые оператором
· сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ
· перечень обрабатываемых персональных данных и источник их получения
· сроки обработки персональных данных, в том числе сроки их хранения
· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных
В некоторых случаях, право субъекта на доступ к своим персональным данным ограничивается. Оно ограничивается в случае, если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. Также, право субъекта на доступ ограничивается, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка и если предоставление персональных данных нарушает конституционные права и свободы других лиц.
Особо отметим права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
Следующим рассмотрим право субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Существует также право на обжалование действий или бездействия оператора. Руководствуясь этим правом, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. И, если субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Также закон регламентирует и обязанности оператора, которые неразделимо связаны с правами субъекта персональных данных. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
· наименование (фамилия, имя, отчество) и адрес оператора или его представителя
· цель обработки персональных данных и ее правовое основание
· предполагаемые пользователи персональных данных
· установленные настоящим Федеральным законом права субъекта персональных данных.
Контроль и надзор за обработкой персональных данных
Прежде чем говорить о самом контроле и надзоре, следует определить орган, который уполномочен защищать права субъектов персональных данных. Таким органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Об Уполномоченном органе по защите прав субъектов персональных данных подробно говорится в статье 21 законопроекта, а в некоторых других статьях законопроекта есть на него ссылки.
Как уже было сказано, во многих странах мира существуют уполномоченные по защите персональных данных и частной жизни или соответствующие комиссии/комитеты. Их главная задача - контроль над исполнением законодательства в этой области. Статус, структура и компетенцияуполномоченных органов определяются в тех же законах о персональных данных и частной жизни.
Уполномоченный орган рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Уполномоченный орган имеет ряд прав, которые я излагаю далее:
· запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию
· осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий
· требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных
· принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона "О персональных данных"
· обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде
· направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных
· направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью
· вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных
· привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона
Базовым свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека.
Уполномоченному органу также должна обеспечиваться конфиденциальность.
Наряду с правами, Уполномоченный орган, конечно, имеет обязанности:
· организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
· рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
· вести реестр операторов;
· осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
· принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
· информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
· выполнять иные предусмотренные законодательством Российской Федерации обязанности
Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Организация работы с конфиденциальными документами
Под безопасностью информационных ресурсов понимается гарантия защиты, информации во времени и пространстве.
Ценная информация и конфиденциальные документы.
Документированные информационные ресурсы, которые используются в бизнесе и в управлении организацией, являются интеллектуальной собственностью организации и нуждаются в защите. Ценность информации определяется размером прибыли от ее использования или размером убытков от ее утраты
Существует два вида информации, ценной для предпринимателя:
1.Техническая, технологическая (методы изготовления продукции, программное обеспечение, производственные показатели, формулы, рецепты, результаты испытания образцов, данные контроля качества и т.д.).
2. Деловая (управленческие решения, результаты исследования рынка, списки клиентов, экономические прогнозы и т.д.).
Наиболее ценными являются сведения о производстве, продукции, рынке, научных разработках, материально-технической базе, переговорах, персонале, службе безопасности.
Под конфиденциальными документами понимается необходимым образом оформленный носитель информации, содержащий сведения об ограничении доступа. Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается.
Регламентация состава конфиденциальных сведений и документов.
К конфиденциальным не могут быть отнесены следующие сведения и документы:
1. Учредительные документы.
2. Отчетность о финансово-хозяйственной деятельности, необходимая для уплаты налогов.
3. Документы о платежеспособности.
4. Сведения о численности, составе и заработной плате работников, об условиях труда и наличии вакансий.
5. Сведения об уплате налогов.
6. Сведения о причинении ущерба природе, здоровью граждан и государству.
7. Сведения об участии руководящего состава в другой предпринимательской деятельности.
Перечень конфиденциальных сведений организации представляет собой список ценной информации, срок конфиденциальности (1-2года), гриф конфиденциальности (уровень), список сотрудников, которым дано право, использовать, эти сведения в работе. В нем предусматривается дробление ценной информации на отдельные элементы, известные разным людям. Перечень создается в рамках одного структурного подразделения.
Документирование конфиденциальных сведений. Технологическая процедура документирования конфиденциальных сведений включает в себя следующие этапы:
1. Получение разрешения на издание конфиденциального документа.
2. Установление уровня конфиденциальности.
3. Оформление и учет носителей информации.
4. Составление черновика документа.
5. Получение разрешения на изготовление документа.
6. Учет черновика.
7. Издание документа.
8. Уничтожение чернового издания документа.
Гриф ограничения доступа ставится на всех экземплярах документа, черновиках, вариантах и копиях. Можно выделить следующие уровни ограничения доступа:
1. Конфиденциально.
2. Конфиденциальная информация.
3. Строго конфиденциально.
4. Строго конфиденциальная информация.
5. Особый контроль. (Этот гриф присваивается лично первым руководителем предприятия).
6. Для служебного пользования.
7. Служебная информация.
8. Не для печати.
В служебной переписке ниже реквизита адресата может быть пометка "Лично", "Только в руки", "Лично в руки" и т.п.
При регистрации конфиденциальных документов к регистрационному номеру добавляется сокращенное обозначение грифа №37к, №89ск, №97дсп.
На ценных, но не конфиденциальных документах может ставиться отметка об особом внимании к сохранности документа: "Собственная информация фирмы", "Информация особого внимания", "Копии не снимать", "Хранить в сейфе" и т.п.
Носители конфиденциальной информации регистрируются и учитываются. Ими могут быть:
· специальный блокнот с отрывными пронумерованными листами или чистые пронумерованные листы для текстовых документов;
· пронумерованные листы ватмана для чертежей;
· маркированные и пронумерованные машинные носители для машинописных документов;
· маркированные и пронумерованные фотопленки, фотобумага для фотодокументов.
Факт перемещения носителя документируется и учитывается. Учитываются и все черновики конфиденциальных документов с ежедневной проверкой их наличия на этапе подготовки документа.
Конфиденциальные документы нельзя диктовать и записывать на диктофон.
Порядок работы исполнителя с конфиденциальным документом.
Ответственность за сохранность конфиденциального документа несут руководители структурных подразделений.
Сотрудники организации при работе с конфиденциальными документами обязаны:
1. Знакомится только с теми документами, к которым они получили доступ по письменному разрешению руководителя.
2. При проверке немедленно предъявлять все числящиеся за ними конфиденциальные документы.
3. Вести строгий учет конфиденциальных документов.
4. Ежедневно в конце рабочего дня проверять наличие конфиденциальных документов и сдавать их на хранение в службу защиты информации.
5. Сдавать по описи все материалы по окончании работы с конфиденциальным документом.
6. Сдавать по описи все материалы, связанные с работой с конфиденциальной информацией, при увольнении, отпуске или командировке.
7. Немедленно сообщать первому руководителю и в службу безопасности об утрате или недостаче конфиденциальных документов.
Для работы с конфиденциальными документами сотрудник должен быть обеспечен рабочим местом, личным сейфом, кейсом для переноса документов, номерной личной металлической печатью. Рабочее место должно быть организовано таким образом, чтобы исключить возможность ознакомления с конфиденциальными документами другими работниками или посторонними лицами. Экран ПК не должен быть виден другим сотрудникам, из окна или двери. На рабочем столе должен быть только тот конфиденциальный документ, с которым идет работа. Остальные должны быть в сейфе. Прочитанные листы документа должны лежать текстом вниз. Покидая помещение, сотрудник убирает документы в сейф и блокирует компьютер.
Документы должны храниться в рабочих папках без подшивки. Наименование папок: "Ознакомление", "Согласование", "Срочно", "Задание на число", "Возврат", "На подшивку в дело" и т.д.
Дела, закрепленные за одним сотрудником, подшиваются в папки с цветовым отличием.
В конце рабочего дня конфиденциальная информация на ПК переписывается на гибкие носители и стирается с жесткого диска.
Право постоянного хранения конфиденциальных документов на рабочем месте имеют:
· первый руководитель;
· его заместители;
· кадровая служба;
Все остальные сотрудники сдают документы в службу безопасности или в службу защиты информации и утром нового рабочего дня получают их в обмен на пропуск.
Персональные данные работников и их защита в кадровых службах
Защита персональных данных - это комплекс мер, предпринимаемый операторами по противодействию несанкционированному использованию персональных данных, включающих организационно административные и технические методы защиты.
Руководитель предприятия и сотрудники кадровых служб должны приложить все усилия для защиты персональных данных работника.
В соответствии с ТК РФ персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающихся конкретного работника.
Для обеспечения прав и свобод человека и гражданина работодатель и его представитель при обработке персональных данных работника обязаны соблюдать следующие общие требования:
· обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно правовых актов, содействия работника в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечение сохранности имущества;
· при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
· все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом за ранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
· работодатель не имеет право получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждений и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
· работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
· при принятии решений, затрагивающих интересы работников, работодатель не имеет право основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработке;
· работодатель должен обеспечить защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств в порядке, установленном федеральным законом;
· работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а так же об их правах и обязанностях в этой области;
· работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работника, а работники не должны отказываться от своих прав на сохранение и защиту тайны.
При передаче персональных данных работника работодатель должен соблюдать следующие правела:
· не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а так же в случаях, установленных ФЗ;
· не сообщать персональные данные работников в коммерческих целях без его письменного согласия;
· предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых оби сообщены, и требовать от этих лиц подтверждение того, что это правело соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Федеральными законами;
· осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку;
· разрешать доступ к персональным данным работников толь специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функции;
· не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу по возможности выполнения работником трудовой функции.
Работник наделен правами, обеспечивающими защиту его персональных данных, хранящихся у работодателя. Работник имеет право:
· на полную информацию о своих персональных данных и обработке этих данных;
· свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных ФЗ;
· определение (выбор) своих представителей для защиты своих персональных данных; доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору;
· требования об исключении или исправлении неверных или не полных персональных данных, а так же данных, обработанных с нарушением требований ТК РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет право в письменной форме заявить работодателю о своем не согласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
· требование об извещении работодателем всех лиц, которым ранее были, сообщены неверные или не полные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
· обжалование в суд любых не правомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Лица, виновные в нарушении норм, регулирующих получение обработку и защиту персональных данных работника, несут дисциплинарную, административную, и гражданско-правовую или уголовную ответственность в соответствии с федеральными законами (ТК РФ, ст.86 - 90).
Заключение
В заключении хочу сказать, что закон о котором шла речь в моей курсовой работе еще только набирает свою силу, многие положения в нем не до конца раскрыты, мы только учимся жить по этим нормам, новым для нашего общества. Конечно же, он будет дорабатываться, изменяться, улучшаться для оптимальной защиты интересов субъекта персональных данных. Нельзя забывать, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Список используемой литературы
1. Сердюк В. "Информационная безопасность автоматизированных систем предприятий", "Бухгалтер и компьютер", №1, 2007.
2. ФЗ РФ от 27.06.06 №152-ФЗ "О персональных данных".
3. http://base.garant.ru
Размещено на Allbest.ru
...Подобные документы
Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.
курсовая работа , добавлен 21.09.2014
Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
курсовая работа , добавлен 19.03.2015
Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.
курсовая работа , добавлен 05.04.2016
Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.
курсовая работа , добавлен 19.03.2015
Особенности персональных данных. Общедоступные персональные данные. Источники правового регулирования. Развитие информационных технологий. Защита персональных данных при их накоплении, обработке и передаче с использованием средств информатизации.
реферат , добавлен 28.01.2011
Рассмотрение проблемы государственной защиты персональных данных. Выделение особых категорий персональных данных, принципов и условий их обработки. Особенности контроля и надзора за исполнением данной процедуры согласно Федеральному закону России.
реферат , добавлен 02.12.2010
Законодательство Российской Федерации в области защиты конфиденциальной информации и ответственность за его нарушение. Персональные данные работников и их защита в кадровых службах. Организация работы с конфиденциальными документами, режим их хранения.
курсовая работа , добавлен 02.12.2010
Понятие, обработка, хранение и использование персональных данных работника. Изучение действующего законодательства по данному вопросу. Виды ответственности работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
контрольная работа , добавлен 10.04.2016
Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.
курсовая работа , добавлен 25.05.2014
Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.
Работа с базой личных данных сотрудников начинается с получения работодателем от его наемного работника согласие на обработку персональных данных. Понятие обработки персональных данных включает в себя весь спектр действий с данной информацией с момента ее получении и до уничтожения.
Понятие «персональные данные» появилось в 1997 году в Указе Президента от 06 марта. А выражение «обработка персональных данных» вошло в обиход в связи с принятием в 2001 году Трудового Кодекса Российской Федерации.
До этого времени любые сведения о гражданах были в свободном доступе. Их можно было передать, запросить и даже купить. Это сильно ущемляло законные права и интересы наших соотечественников, иногда наносило моральный и материальный вред.
С момента вступления в законную силу указанных выше правовых документов началось медленное, но верное исправление сложившейся ситуации. В настоящее время личные сведения граждан надежно защищены законом.
Порядок сбора, принципы и цель обработки персональных данных
Процесс обработки персональных данных регулируется действующим российским законодательством. Все принципы обработки данных, условия, порядок отражены в Гражданском Кодексе Российской Федерации и Федеральном Законе №152-ФЗ от 27 июля 2006 г. «О персональных данных». Принятые законы направлены на защиту конституционного права гражданина «на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» (ст. 23, гл. 2 Конституции РФ).
Целью обработки персональных данных является соблюдение законов, достижение эффективного сотрудничества в рамках , помощь в достижении высокого профессионального уровня работника, обеспечение его безопасности и сохранности имущества.
Принципы работы с базой персональных данных:
- процесс обработки персональных данных не должен выходить за рамки закона;
- обрабатывать можно только те данные, которые нужны для достижения поставленной цели;
- объем и характер сведений, подлежащих обработке, должен соответствовать заявленным целям;
- совмещение персональных данных, собранных для разных целей, недопустимо;
- данные, подвергаемые обработке, должны быть точными, правдивыми, актуальными.
Форма согласия на обработку персональных данных Для того чтобы обрабатывать индивидуальные сведения работника, их вначале необходимо получить. Для этого существует форма согласия на обработку персональных данных. Получать персональную информацию руководитель предприятия может только у самого сотрудника. Если же имеющийся объем сведений недостаточен для достижения поставленной цели, либо работодатель желает подтвердить данные, то возможно запросить информацию у третьих лиц. Чтобы выполнить данное действие, не нарушая закон, руководитель предприятия должен заручиться письменным согласием наемного работника.
То же самое относится и к предоставлению информации третьим лицам. Без письменного заявления с согласием на данную операцию сведения передавать запрещено. Если же разрешение работника получено, то при передаче интересующей информации уполномоченный сотрудник обязан предупредить принимающую сторону, что данная информация должна использоваться только в тех целях, ради которых она предоставлялась.
Также запрещено получать из каких-либо источников сведения, не относящиеся к работе и затрагивающие частную жизнь гражданина : вероисповедание, принадлежность к политическим партиям, сексуальная ориентация, семейная жизнь, родственные связи, пристрастия и привычки, хобби и увлечения, и т.п.
Вся необходимая индивидуальная информация о сотруднике хранится у работодателя. Собирая и обрабатывая персональные данные работников, работодатель обязан позаботиться о ее защите.
Положение об обработке персональных данных работников
Порядок сбора информации, обязанности по ее обработке, хранению, защите, ответственные лица – все это должно быть отражено в Положении об обработке персональных данных на каждом предприятии. Данное Положение предоставляется работнику для ознакомления, после чего он подтверждает свою осведомленность подписью. Документ содержит следующие сведения:
- основные понятия и положения;
- способы работы с индивидуальной информацией;
- формирование базы данных;
- учет, передача и хранения имеющейся личной информации;
- функции работника по защите своих личных сведений.
Согласие работника на обработку персональных данных Собранная и обработанная информация хранится на предприятии в несгораемом шкафу, ключ от которого находится у ответственного лица. Доступ к данной базе могут иметь только уполномоченные на то специалисты.
Обработка персональных данных сотрудников - дело хлопотное и ответственное. С момента поступления конфиденциальной информации о сотруднике в базу данных предприятия ответственность за ее сохранность ложится на предприятие. Разглашение сведений, незаконная передача третьим лицам, злоупотребление имеющейся информацией строго караются законом. За данные нарушения предусмотрена административная, материальная и даже .
Комментарий к статье 5
1. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние гармонизированы с основными международно-правовыми актами в области персональных данных, что должно обеспечить соответствующий уровень их защиты, и представлены в полном соответствии с традициями европейского законодательства в этой области.
Принципы, закрепленные в комментируемой статье, не являются декларативными, лишенными нормативной силы положениями. Они, во-первых, определяют построение и структуру настоящего Федерального закона. Во-вторых, влияют на содержание институтов и норм, а также создают ориентиры для законодательных и иных нормативных правовых актов, регулирующих вопросы сбора и обработки персональных данных. В-третьих, через систему норм и путем непосредственного действия влияют на практику их реализации. В-четвертых, обеспечивают, в силу объективных требований, единство правового регулирования правоотношений в области персональных данных на всей территории РФ.
Принципы обработки персональных данных позволяют:
уяснить смысл и сущность законодательства и его связи с экономикой и моралью;
определяют общую направленность и тенденции совершенствования работы с персональными данными;
помогают практически органам и субъектам правоотношений в правильном применении норм законодательства.
Сформулированные законодателем принципы имеют не только теоретическое, но и большое практическое значение. Они являются базовыми ориентирами при разрешении возникших юридических коллизий в случаях, когда обнаруживаются пробелы правовой регламентации. Включение в текст анализируемого документа основных принципов тем самым подчеркивает возможность существования аналогий права и закона в указанной области общественных отношений при условии, если последние не урегулированы законодательством и это не противоречит их существу. Применение закрепленных в комментируемой статье принципов обработки персональных данных определяется исходя из общих начал и смысла действующего законодательства и требований добросовестности, разумности и справедливости.
Принципы обработки персональных данных сформировались в процессе практической деятельности уполномоченных субъектов в процессе работы с конфиденциальной информацией, были обобщены и сформулированы теорией и получили нормативное закрепление в действующем законодательстве. Они предопределены требованиями социальных норм и экономических законов в нашем обществе, служат основой для направления дальнейшего развития уровня защиты прав и свобод личности и являются сущностной категорией обработки персональных данных, поскольку кратко отражают суть норм настоящего Закона.
Комментируемой статьей представлено пять основных принципов обработки персональных данных:
законность целей и способов обработки персональных данных и добросовестности;
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Отступление от указанных принципов создает условия для необоснованного ограничения и прямого нарушения прав граждан.
Представленный перечень принципов обработки персональных данных является исчерпывающим и подлежит расширению в случае внесения изменений в настоящую статью. Установление исчерпывающего типового перечня в таких случаях диктуется необходимостью обеспечить эффективную защиту прав личности в отношении его персональных данных.
2. Традиционно систему принципов обработки персональных данных открывает принцип законности, представленный как "законность целей и способов обработки персональных данных и добросовестности". Законность способа сбора данных предполагает возможность сбора во всех случаях, специально не запрещенных законом. Действующая таким образом презумпция законности обработки персональных данных подразумевает возможность использования неограниченного круга технических средств и методов сбора, хранения, накопления, использования, анализа информации. В результате обработка данных может осуществляться самыми неожиданными для граждан способами и включать в себя самые неожиданные для них данные в любых сочетаниях. Таким образом, сбор персональных данных должен осуществляться только на основании закона и только в том объеме, в том порядке и теми способами, которые предусмотрены законом.
3. В качестве обязательной составляющей обработки персональных данных законодатель определяет цель деятельности оператора. Персональные данные должны собираться для законных, предварительно определенных, объявленных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями. Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Последовательно развивая принцип целевой направленности в процессе обработки персональных данных, законодатель обязывает оператора предварительно информировать субъекта персональных данных о заявленных целях деятельности.
Законность и добросовестность целей обработки персональных данных подразумевает соблюдение установленных законодательных ограничений. Последние определяются как настоящим Законом, так и иными законодательными актами, осуществляющими правовое регулирование различного рода общественных отношений, основанных на обработке персональных данных.
В свою очередь, соответствие целей обработки персональных данных заявленным и заранее определенным целям, с одной стороны, позволит обеспечить предварительную защиту конфиденциальной информации от несанкционированного доступа к ней третьих лиц, не имеющих на то соответствующих полномочий, с другой - позволит сформировать действенную систему контроля за деятельностью оператора, обеспечивающего соблюдение последним требований действующего законодательства на предмет соблюдения прав субъекта персональных данных и действий в его интересах.
4. Формально законодатель наделяет оператора персональных данных неограниченной свободой действий в части, касающейся сбора, накопления, хранения конфиденциальной информации, создавая возможность последним самостоятельно определять объем и характер обрабатываемых данных, выбирать способы работы с ними. Работа в отмеченном направлении строится во многом благодаря заявленной цели деятельности, которая по смыслу комментируемой статьи является определяющим элементом в выборе содержания деятельности, указывающим на наличие связи между характеристиками персональных данных и целями их обработки.
Статус цели деятельности как базисного элемента всего процесса обработки персональных данных объясняет то обстоятельство, что ее соответствие закону не должно и не может ставиться под сомнение. Цель является тем элементом, который всегда будет иметь соответствующее законодательное обоснование, в то время как практическое воплощение в рамках закона характера, способов, объема обработки персональных данных представляется весьма затруднительным. Определение содержания обработки персональных данных, используемых при этом средств, способов и методов законодатель оставляет на откуп органам исполнительной власти в соответствии с имеющей место системой ведомственной подчиненности.
5. Достоверность персональных данных определяет их содержание, указывая на соответствие полученных сведений фактам, имеющим место в действительности. Декларируя необходимость получения достоверных сведений для целей их обработки, законодатель допускает возможность проверки полученных персональных данных на предмет соответствия их содержания объективной действительности. Таким образом, получение в указанном случае данных от третьих лиц не требует согласия на их обработку со стороны обладателя.
Достаточность персональных данных целям обработки как признак последних требует наличия их совокупности, позволяющей решать оператору свои задачи, которые составляют основу декларируемой ими деятельности. С отмеченных позиций законодатель категорически ограничивает операторов в получении избыточных сведений, явно выходящих за пределы целей заявленной ими деятельности.
В процессе обработки персональных данных обеспечение сохранности, целостности и достоверности данных должно обеспечиваться на основе установления режима конфиденциальности соответствующих персональных данных и регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными.
6. Человека можно идентифицировать на основе любых физиологических особенностей, однако такая идентификация возможна лишь после создания системы учета данных, содержащих достоверные результаты первичной идентификации. Избранная форма хранения и предоставления персональных данных должна, во-первых, соответствовать заявленной цели деятельности оператора, во-вторых, исключать возможность преждевременного уничтожения, модификации или обнародования персональных данных до решения задач, для которых они накапливались, и, в-третьих, при обеспечении надежной системы защиты персональных данных обеспечивать своевременность идентификации личности.
Собранные в подобных системах учета данные практически неуничтожимы до той поры, пока существуют сами системы, для которых собирались эти данные, в противном случае информационная система будет нестабильной и создающей предпосылки для нарушения прав граждан.
О персональных данных 26
Статья 5. Принципы обработки персональных данн ых
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
