Что такое общедоступные персональные данные ?

Содержание
  1. Обработка личных сведений по согласию
  2. Что-то из личных сведений скопировать можно только в том случае, если у разместившего их ресурса есть соответствующее согласие от персоны
  3. в согласии должно быть явно указано, что владелец личных сведений разрешает с ними делать
  4. Согласие может подаваться оператору ПД либо напрямую, либо через информационную систему Роскомнадзора
  5. Важно: если на сайте осуществляется сбор и обработка ПД, то на нем должна быть размещена политика обработки ПД
  6. Кроме того, всем, кто скачает эти данные, также придется нести ответственность и доказывать законность их обработки
  7. чтобы не попасть под штрафные санкции, нужно следить за рекомендациями регулирующих органов и правоприменительной практикой, а также обращаться в случае необходимости к экспертам в области защиты персональных данных
  8. Новое в Законе «О персональных данных» 2021. Что нас ждет?
  9. Что нового
  10. 5 базовых принципов закона о персональных данных, о которых нужно знать
  11. Что не входит
  12. Образец приказа о персональных данных работников 2021: с чего начать
  13. Образец приказа об утверждении положения о защите персональных данных (2020)
  14. Специальные данные
  15. Ответственность за отсутствие документации
  16. 7 основных правил работы с персональными данными
  17. Правило 1. Работать с ПД в рамках закона
  18. Правило 2. Понимать, какие сведения относятся к ПД
  19. Правило 3. Различать категории ПД
  20. Правило 4. Уметь обрабатывать ПД
  21. Как обрабатываются персональные данные
  22. Правило 5. Грамотно оформлять документы по работе с ПД
  23. Правило 6. Знать права работника и обязанности работодателя при работе с ПД
  24. Обязанности работодателя
  25. Правило 7. Учитывать ответственность работодателя за нарушение защиты ПД
  26. Какие персональные данные являются общедоступными
  27. Что такое общедоступные ПД?
  28. Обработка общедоступных данных
  29. Права субъектов общедоступных данных

Обработка личных сведений по согласию

Что такое  общедоступные персональные данные  ?

Как соответствовать обновленному законодательству в сфере персональных данных?

Нормативные правовые акты постоянно совершенствуются, чтобы свести к минимуму возможность утечек чувствительной информации. 30 декабря 2020 года была принята новая редакция Федерального закона «О персональных данных», которая может внести неразбериху в процессы обработки и распространения личных сведений.

Ведь для операторов (а это любые организации, к которым попадает личная информация граждан) подобные правки – головная боль и вмешательство в отлаженный механизм.

Что изменилось и нужно ли глобально перекраивать процесс обработки персональных данных (ПД) или только немного его «отретушировать», разбираемся вместе с главным аналитиком по информационной безопасности компании «Элефус» Екатериной Голунчиковой.

РАЗРЕШЕННЫЕ ДЛЯ РАСПРОСТРАНЕНИЯ

Итак, в законе «О персональных данных» появились изменения, корректирующие правила публикации (распространения) сведений, содержащих ПД, в открытых источниках.

Для начала еще раз поясним, что является ПД, о которых все постоянно говорят. В этот список входят (в любой последовательности и в любых сочетаниях):

  • ФИО;
  • дата рождения;
  • номер телефона;
  • адрес;
  • электронный адрес;
  • фото;
  • ссылка на профили в социальных сетях и другие персональные ресурсы;
  • информация из резюме сотрудника, включая сведения о предыдущем(-их) месте(-ах) работы, различных достижениях и наградах и другие личные данные.

Новая редакция вводит вместо «общедоступных персональных данных» понятие «персональные данные, разрешенные субъектом для распространения», где под распространением понимается предоставление доступа неограниченному кругу лиц.

Таким образом подчеркивается ограниченная доступность личных сведений, необходимость получения отдельного разрешения на их разглашение.

При этом понятие «общедоступные источники персональных данных» остаются в правовом поле (статья 8 152-ФЗ).

ЧТО ТАКОЕ ОБРАБОТКА

Кроме того, был обновлен перечень правовых оснований обработки ПД без согласия на это их владельца.

Так, исчезла формулировка «обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных)».

На практике это означает, что теперь, например, нельзя скачать резюме соискателя из интернета и обрабатывать его ПД на основании того, что это «общедоступные персональные данные».

Что-то из личных сведений скопировать можно только в том случае, если у разместившего их ресурса есть соответствующее согласие от персоны

Такой документ может включать в себя доступ (посмотреть и больше ничего) или доступ и дальнейшее распространение (посмотреть, скачать и выложить на своем сайте) и так далее – вариантов множество.

Под обработкой данных (помимо доступа) в законе понимается:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение информации.

И да,

в согласии должно быть явно указано, что владелец личных сведений разрешает с ними делать

СЛЕДОВАТЬ ПРАВИЛАМ ВЕЗДЕ

Важно отметить, что изменения касаются не только публичных интернет-ресурсов, включая соцсети, форумы и так далее, но также и всех корпоративных сайтов, размещающих информацию о своих сотрудниках, например, в разделах сайта «Контакты», «Руководство» и т.п. Все они должны заручиться согласием своих работников с указанием разрешенных действий.

Главный вопрос, который возникает у многих операторов ПД: «Где все эти согласия и описания владелец сайта должен размещать и что делать, если у каждого субъекта будет свой взгляд на разрешенные виды обработки?» Вот здесь пока, увы, ясности нет.

Зато Роскомнадзор предписывает всем операторам ПД неукоснительно следовать правилам, а именно:

  • Операторы обязаны разработать новую форму согласия на обработку ПД, разрешенных для распространения (требования согласия устанавливает РКН).

При этом сами персоналии, данные которых выкладываются в открытый доступ, определяют в каждом конкретном случае, какую информацию они не против выдать в публичное пространство. Плюс к этому необходимо указать, будет это просто доступ или с ограничениями (например, запрет на публикацию на сторонних ресурсах).

  • Операторы обязаны в срок не позднее трех рабочих дней с момента получения согласия субъекта ПД опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПД, разрешенных человеком для распространения.

В каком виде такие данные должны быть размещены и в каком месте – пока под вопросом. Например, можно оставлять ссылку на запреты и условия обработки ПД рядом с каждой их публикацией. Так, это уместно сделать рядом с пунктом «Наши контакты».

Согласие может подаваться оператору ПД либо напрямую, либо через информационную систему Роскомнадзора

Предполагается, что любой гражданин может в этой системе указать, кому он дает согласие на распространение и какие данные о себе разрешает распространять. В таком случае оператор может уже не получать от субъекта согласие самостоятельно, а использовать для этого сервис РКН.

  • Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием. Например, если из заполненного им документа явно не следует, что он согласился с распространением ПД, то распространение запрещено.
  • В любой момент любой гражданин, чьи данные обрабатывает оператор, может передумать и аннулировать данное ранее согласие или изменить его. И оператор в любое время должен прекратить распространение информации о таком субъекте после полученного обращения, включающего в себя:

– фамилию, имя, отчество (при наличии);

– контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных;

– перечень персональных данных, обработка которых подлежит прекращению.

Действие согласия субъекта прекращается с момента получения оператором такого требования.

Кроме того, с соответствующим требованием о прекращении распространения субъект может обратиться в суд. И в таком случае оператор обязан прекратить передачу (распространение, предоставление, доступ) ПД в течение трех рабочих дней с момента получения требования либо в срок, указанный во вступившем в силу решении суда*.

Что необходимо сделать всем операторам прямо сейчас:

  • проанализировать процессы, в рамках которых происходит распространение ПД;
  • при необходимости скорректировать их, а именно – взять согласия для всех случаев размещения ПД или отказаться от их размещения;
  • довести до сведения работников, непосредственно участвующих в обработке ПД, изменения в законодательстве и в корпоративных процессах;
  • при необходимости актуализировать локальные акты, регламентирующие порядок обработки ПД;
  • разработать и ввести в действие новые формы согласий на обработку ПД в соответствии с требованиями, установленными Роскомнадзором.

Если будут приняты эти основные меры, дальше в работу с ПД останется только внести косметические правки. Также в жизни операторов будет гораздо меньше сложностей, если они не забудут проверить выполнение «старых» требований. Новая редакция их не отменяет.

Важно: если на сайте осуществляется сбор и обработка ПД, то на нем должна быть размещена политика обработки ПД

Это документ, в котором определяются цели и правовые основания для сбора данных, а также порядок их обработки.

КОГДА СОГЛАСИЕ НА ОБРАБОТКУ ПД НЕ ТРЕБУЕТСЯ

Не стоит воодушевляться, увидев этот подзаголовок. Коротким ответом здесь будет «почти никогда».

Ну а если посмотреть на то, что предписывает нам буква закона, мы сможем увидеть, что новые требования не применяются лишь в случае обработки ПД в целях выполнения возложенных законодательством на федеральные органы исполнительной власти и субъектов РФ, органы местного самоуправления функций, полномочий и обязанностей.

О ШТРАФАХ

Если оператор распространяет ПД без отдельного согласия, то это влечет ответственность, предусмотренную законом.

Кроме того, всем, кто скачает эти данные, также придется нести ответственность и доказывать законность их обработки

Обработка ПД без согласия в случаях, когда такое согласие должно быть получено, влечет наложение штрафа для юридических лиц – от 30 тыс. до 150 тыс. рублей. А повторное нарушение – от 300 тыс. до 500 тыс. рублей. Отметим, что нередки случаи, когда операторы получают штрафы в размере нескольких миллионов за невыполнение правил.

Пока так и неясно, как будут выполняться и как будет контролироваться выполнение новых положений. Требования к форме нового согласия еще не утверждены (проект приказа Роскомнадзора еще только проходит процедуру регистрации), а система РКН для сбора согласий запустится ориентировочно в июле.

Ясно в настоящее время только одно:

чтобы не попасть под штрафные санкции, нужно следить за рекомендациями регулирующих органов и правоприменительной практикой, а также обращаться в случае необходимости к экспертам в области защиты персональных данных

* Если такой срок не указан – в течение трех рабочих дней с момента вступления решения суда в силу.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Обезличить до неузнаваемости
Законодатели и рынок пытаются понять – нужна ли данным анонимность

Новое в Законе «О персональных данных» 2021. Что нас ждет?

Что такое  общедоступные персональные данные  ?

23 декабря 2020 г. Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.

А 30 декабря 2020 г. Федеральный закон № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” уже был подписан Президентом.

По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 г.

Сразу предупрежу: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом. Ниже изложена моя точка зрения на изменения и она не претендует на истину. Будем ожидать разъяснений Роскомнадзора.

Оперативные обновления узнавайте в моем Телеграм-канале.

Персональные данные в 2021

Что нового

Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.

Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:

«10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»

Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

любые данные о человеке можно публиковать только с его прямого согласия!

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте

5 базовых принципов закона о персональных данных, о которых нужно знать

Что такое  общедоступные персональные данные  ?

Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

  • Ф.И.О.;
  • возраст (год рождения);
  • семейное положение;
  • образование;
  • профессия;
  • адрес проживания;
  • расовая и национальная принадлежность;
  • вероисповедание;
  • биометрические данные;
  • политические взгляды;
  • состояние здоровья.

Что не входит

Поскольку определение рассматриваемого термина в законе сделано очень расплывчатым, возникает необходимость разобраться в том, что не подпадает под эту категорию. При этом нужно учитывать, что повсеместное использование персональных гаджетов постепенно стирает грань между персональной и общедоступной информацией.

По мере того, как физическое лицо всё в большей степени присутствует в интернете, доступных сведений о нём становится всё больше. При этом юридические определения на эту тему очень расплывчаты. Вот несколько примеров того, что не может рассматриваться в качестве персональных сведений:

  • Местоположение человека во всемирной сети идентифицируется его IP адресом. Каждому, кто входит в интернет, присваивается этот идентификатор, который даёт информацию о том, где он находится. Однако эта информация не позволяет полностью идентифицировать его. Поэтому IP адрес не рассматривается в качестве персональных данных. То же можно сказать о доменных именах.
  • Номер телефона имеет прямое отношение к конкретному человеку при условии, что он закреплён за ним в договоре с оператором связи. Его также можно рассматривать в таком качестве, если информация о владельце находится в публичном доступе.
  • Широкое распространение имеет использование адресов электронной почты. Некоторые при выборе названия почтового ящика используют информацию, имеющую личное значение. Если в электронном адресе указана информация о конкретном человеке, это будет относиться к ПДн.
  • Использование логина и пароля не относится к рассматриваемой категории вне зависимости от того, какая информация использовалась при их создании. При регистрации в социальных сетях далеко не все пользователи используют свои реальные данные. Поэтому их нельзя считать ПДн.
  • Использование видео данных (фотографий или результатов съёмки) в некоторых случаях может относиться к ПДн. Это происходит тогда, когда человека можно однозначно идентифицировать с их использованием.

В указанных ситуациях можно точно утверждать то, что предоставленные сведения не носят личного характера в отличии, например, от паспортных данных.

Образец приказа о персональных данных работников 2021: с чего начать

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

  • положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2020 детально описан в специальном материале;
  • образец приказа о хранении персональных данных;
  • политика предприятия в отношении таких сведений;
  • перечень лиц, имеющих доступ к ним;
  • согласие на обработку;
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Образец приказа об утверждении положения о защите персональных данных (2020)

Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись (ст. 86 ТК РФ).

Специальные данные

Специальные категории персональных данных – сведения, затрагивающие отношения к расе или нации, вопросы политических, религиозных и философских взглядов. Также сюда относится информация о здоровье физического лица и его интимной жизни. Операторы не запрашивают и не распространяют эту информацию без письменного подтверждения о согласии владельца.

Исключение составляют случаи:

  1. Разрешение в письменной форме гражданина.
  2. Субъект выложил эти сведения в источники публичного доступа.
    Защита персональных данных
  3. Обработка информации нужна для установления диагноза или профилактики заболеваний.
  4. Сведения необходимы для предотвращения риска жизни и здоровья, при условии невозможности получения разрешения владельца.
  5. Обработка происходит по законам, регламентирующим трудовую деятельность, деятельность пенсионной системы РФ.
  6. Если гражданин состоит в общественном или религиозном обществе, а обработка предполагается их организационно-правовой формой. При этом сведения не распространяются за пределы объединения без письменного разрешения владельца.
  7. Если разглашение данных поможет защитить права владельца информации или иных лиц, а также совершить правосудие.
  8. Обработка происходит в рамках законов России, в частности регламентирующих безопасность и противодействие терроризму, коррупции и работу оперативно-розыскных органов.

Ответственность за отсутствие документации

7 основных правил работы с персональными данными

Что такое  общедоступные персональные данные  ?

 > О Центре > Публикации

Вокруг персональных данных много мифов и домыслов. На практике часто встречаются крайности: работодатели либо необоснованно засекречивают всю информацию о работнике, либо вообще не обращают внимания на защиту их персональных данных.

Давайте разберемся с правилами работы с персональными данными (ПД).

Правило 1. Работать с ПД в рамках закона

Для начала следует разобраться с терминологией и понять, кто является «субъектом ПД» и «оператором ПД».

Переведем эти понятия на язык трудового законодательства:

Субъект ПД — кандидат / стажер / работник / бывший работник, тот, чьи ПД обрабатываются.

Оператор ПД — работодатель, тот, кто обрабатывает ПД.

На сегодняшний день в России несколько нормативных актов регламентируют работу с ПД (Таблица 1).

Правило 2. Понимать, какие сведения относятся к ПД

Мы живем в информационном мире, и всю информацию можно разделить на два вида:

  • Общедоступная — сведения и иная информация,доступ к которой не ограничен.
  • Информация ограниченного доступа, к которой относятся государственная тайна и конфиденциальная информация, включающая более 40 видов тайн: служебную, коммерческую и др., в том числе персональные данные.

Являются ли Ф.И.О. персональными данными? В каких-то случаях да, в других – нет.

Какие сведения относятся к «персональным данным»?

Любая информация, которая прямо или косвенно относится к физическому лицу.

Таким образом, просто Ф.И.О. не являются ПД, пока нельзя определить, кому они принадлежат. Для того чтобы Ф.И.О. «Иванов Иван Иванович» отнести к персональным данным, требуется наличие конкретного лица, которое можно по этим данным идентифицировать.

Например, Иванов Иван Иванович — генеральный директор ООО «Компания». Здесь мы понимаем, о каком конкретно человеке идет речь, и в данном случае Ф.И.О. относятся к ПД.

Правило 3. Различать категории ПД

Законодательство выделяет четыре категории ПД:

  1. Общие или общедоступные — известны другим людям и могут быть опубликованы в общедоступных источниках. Это базовые личные данные: Ф.И.О, место жительства / регистрации, сведения об образовании / квалификации, информация о месте работы, номер телефона, e-mail и др.
  2. Специальные — это информация о личности человека. Они отличаются от других категорий тем, что, как правило, находятся в закрытом доступе. Их можно получить только у самого человека или по официальному запросу в поликлинику, правоохранительные органы, суд и т. д. Например, расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности личной жизни, информация о судимостях и др.
  3. Биометрические — это физиологические или биологические особенности человека, которые используют для установления его личности. К этой категории относятся фотографии, дактилоскопические данные, радужная оболочка глаз, группа крови, генетическая информация и т. п.
  4. Иные — это дополнительная информация, которая часто может меняться, и эти данные нельзя отнести к категориям общедоступных, специальных или биометрических данных. Например, корпоративные данные, информация, которая находится в организации: заработная плата, разные виды стажа, периоды отпусков и пр.

Правило 4. Уметь обрабатывать ПД

К обработке ПД относится любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПД, например сбор, систематизация, хранение, использование, передача, уничтожение и др.

Обработка любых категорий ПД допускается с письменного согласия работника.

Обработка общих ПД осуществляется, если:

  • обработка необходима для достижения целей, предусмотренных законом (например, ст. 24 НК РФ), для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. Например, передача ПД при перечислении налогов в бюджетную систему РФ, поскольку работодатель является налоговым агентом;
  • обработка необходима для исполнения трудового договора, стороной которого является работник. Например, передача информации в налоговую инспекцию;
  • работник предоставил доступ к ПД (либо по его просьбе) для неограниченного круга лиц. Например, работник попросил сделать рассылку о размещении информации о его юбилее.

Обработка специальных категорий ПД происходит в случаях, если:

  • ПД сделал общедоступными сам работник;
  • обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка происходит в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка биометрических ПД осуществляется без согласия работника:

  • если фото и записи сделаны на массовых и публичных мероприятиях;
  • в связи с реализацией международных договоров РФ о реадмиссии — согласии государства на прием обратно на свою территорию граждан, которые подлежат депортации из другого государства;
  • в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ;
  • в случаях, предусмотренных законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ. Например, работника отправляют в служебную командировку за пределы РФ.

Вместе с тем следует помнить, что при размещении видеокамер нужно учитывать требования законодательства, поскольку скрытое слежение за работником является противоправным.

В разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указано, что требуется разработка и принятие локального акта, в котором необходимо определить цели установки видеокамер. Также в организации должны быть установлены таблички «Внимание! Ведется видеонаблюдение». Каждого работника следует уведомить об установке камер слежения лично под подпись и в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте.

Как обрабатываются персональные данные

ПД могут обрабатываться разными способами:

  • без использования средств автоматизации / неавтоматизированная обработка, если такие действия осуществляются при непосредственном участии человека;
  • с использованием средств автоматизации, при обработке ПД в информационных системах.

Работодатель должен обеспечить определенную степень защиты ПД в зависимости от категории данных (Таблица 2):

Для использования ПД в автоматизированных системах работодатель должен иметь защищенную IT-инфраструктуру и отслеживать, чтобы ПД всегда были доступны, исключить их потерю и передачу ПД третьим лицам.

Правило 5. Грамотно оформлять документы по работе с ПД

В ряде случаев, например при размещении ПД работника на сайте организации, для обработки разных категорий ПД требуется письменное согласие работника, которое должно включать в себя:

  • Ф.И.О. работника, адрес, сведения о документе, удостоверяющем его личность;
  • наименование (Ф.И.О.) и адрес работодателя, получающего согласие работника на обработку ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых дается согласие работника;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых работодателем способов обработки ПД;
  • срок, в течение которого действует согласие, а также порядок его отзыва;
  • подпись работника.

В организации должно быть утверждено Положение о защите ПД работников.

Оно регламентирует порядок получения, хранения, использования и защиты ПД, закрепляет права и обязанности работодателя и работников, а также определяет ответственность сторон трудового договора.

Правило 6. Знать права работника и обязанности работодателя при работе с ПД

Работодатели, работники и их представители должны совместно вырабатывать меры защиты ПД работников, работники не должны отказываться от своих прав на сохранение и защиту тайны.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

  • на полную информацию об их ПД и обработке этих данных;
  • свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты ПД;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства (при отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия);
  • дополнение заявлением, выражающим собственную точку зрения работника на ПД оценочного характера;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • ознакомление под подпись с документами работодателя, устанавливающими порядок обработки ПД, а также об их правах и обязанностях в этой области.

Обязанности работодателя

  • Все ПД работника следует получать у него самого. Если ПД работника возможно получить только у третьей стороны, то у работника нужно взять письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.
  • Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям ПД, за исключением случаев, предусмотренных законодательством, например при назначении пособия по временной нетрудоспособности.
  • Работодатель не имеет права получать и обрабатывать ПД работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством. Например, если работник исполняет государственные или общественные обязанности, работодатель должен освободить работника на время от работы с сохранением за ним места работы в соответствии со ст. 170 ТК РФ.
  • При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • Не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством. Например, при вызове скорой помощи или передаче информации трудовой инспекции, налоговой и др. при проведении проверки.
  • Не сообщать ПД работника в коммерческих целях без его письменного согласия.
  • Разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций.
  • Предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, например оформить обязательство в письменной форме о неразглашении ПД.
  • Осуществлять передачу ПД работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
  • Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
  • Передавать ПД работника представителям работников, например профсоюзам, в порядке, установленном законодательством, и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций.

Защита ПД работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.

Работник имеет право обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Правило 7. Учитывать ответственность работодателя за нарушение защиты ПД

В соответствии с Административным регламентом предметом государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства являются:

  • документы, характер информации в которых предполагает или допускает включение в них ПД;
  • информационные системы ПД;
  • деятельность по обработке ПД.

Лица, виновные в нарушении законодательства РФ в области ПД, привлекаются к дисциплинарной и материальной ответственности в соответствии с Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (Таблица 3).

Поскольку штрафы за нарушение работы с ПД повышены, работодателю следует внимательнее относиться к обработке данных своих работников и учитывать эти основные правила.

09.04.2021

 > О Центре > Публикации

Какие персональные данные являются общедоступными

Что такое  общедоступные персональные данные  ?

Каждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции.

Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор.

Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

  • ФИО;
  • дата и место рождения;
  • домашний адрес;
  • номер телефона;
  • профессия;
  • индивидуальный налоговый номер;
  • место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

К общедоступным данным относится также персональная информация, которая предоставляется:

  • при трудоустройстве, заключении контракта или трудового договора;
  • во время переписи населения;
  • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.

Обработка общедоступных данных

Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

Права субъектов общедоступных данных

Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.

Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.

Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку.

Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность.

Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.

В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.

В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности.

Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных.

Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.

Законодательство
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: