Персональные данные и их обработка
О необходимости защиты персональных данных ведутся дискуссии на протяжении многих лет, но не все знают, что относится к персональным данным физического лица по закону. К персональным данным относится любая информация (паспортные данные, дата рождения, информация о месте работы и семейном положении, образование, социальное, имущественное положение, профессия, доходы, биометрические данные, другая информация). Сегодня достаточно часто распространена ситуация, когда персональные данные предаются огласке работодателем в процессе его деятельности. Несмотря на то, что юридически это не является нарушением, многие люди предпочли бы скрыть свои личные данные, такую защиту работодатель должен предоставлять по закону.
Оператором
персональных данных является любое юридическое лицо, деятельность
которого связана с обработкой данных сотрудников и клиентов. Форма
собственности и размеры организации значения не имеют, на практике в
данную категорию относится любое предприятие, использующее наемный труд.
Процесс трудоустройства предполагает заполнение анкет с указанием
личных данных, все документы при этом копируются, полученная информация
заносится в базы данных, бухгалтерские программы. В целях обеспечения
безопасности передачи и хранения информации любая компания несет
обязательство о неразглашении персональных данных работников.
Предприятия, чья деятельность связана с хранением и сбором таких
сведений, должны получать лицензию.
Для получения такой лицензия должно быть проведено обучение персонала, обязательно приобретение технических средств защиты.
Этапы процедуры:
Все эти меры обеспечивают гарантию защиты информации при хранении и передаче посредством коммуникационных линий. Вышеописанные действия применимы только к обработке данных в электронном виде, что не обеспечивает полную безопасность хранящихся или передаваемых данных. Часто возникает вопрос,собирает ли программное обеспечение персональные данные пользователя. Все зависит от конкретного ПО, обычный пользователь установить факт кражи его личных данных программами не может.
Центр
обработки данных представляет собой сложную систему, включающую в себя
комплекс IT решений, инженерных конструкций и высокотехнологичного
оборудования. ЦОД предназначен для быстрой обработки разных объемов
информации, хранении и выдаче данных пользователю. Ядром такого центра
являются мощные серверные станции, оснащенные необходимым ПО, системами
безопасности и охлаждения.
Разновидности ЦОД:
Согласие
на обработку личных данных требуется при подаче заявления на визу, при
приеме на работу, при оформлении заявки на кредит в банк и в других
случаях. Такая необходимость вызвана тем, что содержащие персональные
данные документы проходят через руки нескольких сотрудников. Наличие
письменного разрешения на использование персональных сведений защищает
материалы от возможно попадания к третьим лицам. При устройстве на
работу или при оформлении заявки в банке вся информация заполняется по
установленной форме, утвержденной в организации, субъект ПД часто
указывает только ФИО, ставит дату и подпись.
Очень важно правильно
оформить согласие на обработку данных при получении визы. При подаче
неправильно оформленного бланка последует отказ, в результате
потребуется повторная подача документов. Очень важно отнестись
ответственно к данному вопросу, бланк рекомендуется получить
непосредственно в учреждении или скачать его с сайта. При обращении в
визовый центр требуется оформить доверенность, уполномочивающую
сотрудников заполнить согласие на обработку персональных данных, что
исключает ее попадание к третьим лицам.
Согласие на переработку
личной информации должно быть заполнено разборчивым почерком,
оформленная с ошибками виза становится недействительной, выезд за
пределы страны невозможным. Скачанный с сайта консульства бланк может
быть заполнен в электронном виде, помарки и исправления не допускаются.
Согласие
на обработку персональных данных может быть отозвано в любой момент,
для этого достаточно оформить соответствующее заявление в произвольной
форме, типовые бланки отсутствуют.
Документ должен содержать следующие данные:
В законодательстве отсутствует точное определение, относится ли телефонный номер к личной информации. На многочисленные вопросы пользователей в Роскомнадзоре пояснили, что только по номеру невозможно установить личность гражданина. К персональным данным его можно причислить только в связке с ФИО обладателя и населенным пунктом проживания. Если номер закреплен за физическим лицом по договору с сотовым оператором, то он также относится к ПД.
Поводы для
передачи данных третьим лицам — самые разные, это может быть заключение
договоров медицинского страхования, получение банковских карт и т. д. В
большой компании могут работать тысячи сотрудников, обработка такого
объема данных занимает много времени. Выход из ситуации — включение
данного пункта в трудовой договор. На практике в данном случае все равно
требуется согласие на передачу персональных данных третьим лицам, чаще
всего оно оформляется отдельно.
Чаще всего работодатель заключает
трудовой договор с сотрудником, в нем перечисляются все третьи лица,
имеющие право на поучение персональных данных.
Согласие на передачу личных данных третьим лицам содержать следующую информацию:
Приказ об утверждении политики обработки персональных данных от 07.02. 2017 № 13-ФЗ ужесточает ответственность в этой сфере. Действие закона начинается с 01.07.2017 г, основные нововведения касаются расширения оснований для привлечения компании-работодателя к административной ответственности, были также увеличены суммы административных штрафов. Вместо утвержденного ранее в статье 13.11 КоАП РФ единственного вида административной ответственности появится семь. За разные нарушения работодателей могут применяться разные штрафы, при выявлении нескольких нарушений по разным составам количество штрафов может быть увеличено.
Были изменены следующие составы нарушений:
Упростился порядок привлечения к ответственности, до 01.01.2017 г. право на возбуждение дел по административным делам имел только прокурор. С вышеуказанной даты соответствующие дела по статье 13.11 КоАП могут возбуждать сотрудники Роскомнадзора, процедура привлечения к ответственности таким образом упростилась.
К биометрическим данным
относятся любые измеряемые сведения физиологического, психологического
или поведенческого характера. Любой параметр, выраженный в абсолютных
значениях, может быть отнесен к данной категории. Ценность
биометрических данных объясняется их уникальностью, поскольку ДНК,
рисунок радужки, отпечаток пальца у всех людей отличаются. Такие данные
могут использоваться в качестве индивидуального пароля, их нельзя
изменить или отредактировать, несанкционированный доступ исключается.
Все перечисленные характеристики в комплексе повышают полезность таких
сведений, особенно если речь идет об общем сборе и хранении информации в
разных целях. Сегодня широко используются такие биометрические данные,
как радужка глаза, голос, отпечатки пальцев, распознавание лица и ДНК. В
будущем будет возможна работа не только со статическими, но и с
динамическими данными: особенности поведения, походка, запах, процесс
подписания документов и т. д.
При изучении физиологических
характеристик было установлено, что информация о сетчатке глаза не
пригодна, так как рисунок сосудов подвержен изменениям.
В законодательстве введено понятие обезличивания личной информации, процедура включает действия, в результате проведения которых определение принадлежности ПД к конкретному субъекту становится невозможным. В данной статье закреплено включение обезличивания личной информации в процесс переработки персональных данных, таким образом процедура невозможна без соответствующего согласия субъекта ПД.
В 152-ФЗ понятие
трансграничной передачи ПД описывается как передача личной информации на
территорию другого государства, это может иностранное физическое или
юридическое лицо, орган власти. Какие-либо ограничения на предоставление
личных данных граждан России иностранным государствам, соблюдающим
права субъектов РФ, отсутствуют, за исключением возможности запрета на
разглашение ПД в целях защиты Конституции РФ, законных интересов, прав,
здоровья и нравственности граждан.
В список таких государств входят
страны, являющиеся сторонами Конвенции, а также государства, перечень
которых перечислен в Приказе № 274 Роскомнадзора.
В отношении стран, которые не обеспечивают адекватную защиту прав субъектов ПД, 152-ФЗ предусмотрены исключения, когда трансграничная передача на территорию таких стран допускается:
Согласие на обработку ПД несовершеннолетних детей дают его родители или другие представители.
Чаще всего такое согласие предоставляется в образовательные учреждения с
целью организации учебного процесса. В соответствии с требованиями
законодательства обработка ПД не требует получения согласия, но
обязательно при необходимости расширения полномочий в непредусмотренных в
законе случаях (электронные дневники, сайт школы, доска почета и др.)
При заполнении согласия должны быть указаны следующие моменты:
Подписание согласия является подтверждением законности обработки личной информации и соблюдения права ребенка. Текст соглашения должен быть тщательно изучен, особое внимание должно быть уделено тому, какая информация собирается, а также возможность ее передачи в другие учреждения.
Работодатель имеет право на получение информации, характеризующей сотрудника как сторону договора. Часто возникает вопрос, какая информация относится к персональным данным работника, помимо ФИО, адреса, места жительства, даты рождения, образования, профессиональной квалификации, семейного положения, предыдущих мест работы. Существуют также другие категории ПД, специальные категории персональных данных - это национальная и расовая принадлежность, политические, философские и религиозные убеждения, интимная жизнь, состояние здоровья. Персональными данными не является информация, которая не позволяет идентифицировать личность субъекта.