Ирина Андрианова - Персональные данные в организации
| Название: | Персональные данные в организации |
| Автор: | Ирина Андрианова |
| Жанры: | Просто о бизнесе | Юриспруденция |
| Серии: | Нет данных |
| ISBN: | Нет данных |
| Год: | Не установлен |
Эта книга – практический материал, который поможет сэкономить Ваше время, быстро сориентироваться в изменениях законодательства и разработать документы по персональным данным. В книге приведен обзор законодательства, алгоритм построения системы защиты персональных данных, примеры документов (политика, приказы, инструкции, согласия, уведомления, акты и др.).Для специалистов, ответственных за работу с персональными данными,руководителей организаций и учреждений.
Бесплатно читать онлайн Персональные данные в организации
© Ирина Андрианова, 2023
ISBN 978-5-0059-7035-0
Создано в интеллектуальной издательской системе Ridero
1. ОСНОВНЫЕ ПОНЯТИЯ, КЛАССИФИКАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЗОР ЗАКОНОДАТЕЛЬСТВА
Как организовать работу с персональными данными сотрудников, клиентов, контрагентов в организации? Какие документы по обработке и защите персональных данных должны быть разработаны и какими нормативно-правовыми актами необходимо руководствоваться?
Ответы на каждый из этих вопросов дают федеральные законы и другие нормативные правовые акты Российской Федерации, которые являются основанием для работы с персональными данными в любой организации (предприятии, учреждении).
Конституция Российской Федерации гарантирует каждому гражданину нашей страны право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства (ст. 23) и устанавливает запрет на сбор, хранение, использование информации о частной жизни человека без его согласия. На основании Конституции был создан Федеральный закон о персональных данных для обеспечения прав людей и защиты личных сведений.
1.1. Федеральный закон о персональных данных
Основной закон, регулирующий работу с персональными данными – Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152). В нем содержатся порядок работы с персональными данными, принципы и условия их обработки, требования к содержанию некоторых документов, например, согласий на обработку ПДн, права субъекта ПДн и обязанности оператора.
Основные понятия ФЗ-152 содержатся в статье 3.
Персональные данные (далее – ПДн) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 ФЗ-152). Т. е. это информация, которая относится к конкретному человеку, например, ФИО, пол, возраст, дата рождения, номер телефона, адрес электронной почты и др. Однако, некоторые данные не являются ПДн сами по себе, а становятся таковыми только в совокупности с другими сведениями. Например, сам номер телефона без ФИО не является ПДн, т. к. идентифицировать человека в этом случае невозможно. А если организация обрабатывает и хранит данные в совокупности (ФИО, номер телефона, email), то и номер телефона и адрес электронной почты являются персональными данными. Также фамилия, имя, отчество являются персональными данными только в привязке к другим данным, например, паспортным (дата и место рождения, номер паспорта и тп).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн, т. е. оператором персональных данных являются все организации, учреждения, предприятия, которые собирают, распространяют, обрабатывают и хранят ПДн работников, а также клиентов и контрагентов (п.2 ст. 3 ФЗ-152).
Субъект персональных данных – это физическое лицо, которое идентифицируется с помощью конкретных ПДн, т. е. носитель этих данных. Законодательством предусмотрено 2 основные категории субъектов ПДн – работники организации и те, кто ими не является. К субъектам ПДн относятся: работники оператора, соискатели, бывшие работники, родственники работников; контрагенты и клиенты (физ. лица); законные представители, работники юр. лиц, являющихся клиентами, контрагентами оператора.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ 152). Т. е. обработка – это любые действия с персональными данными.
Например, сотрудник при трудоустройстве предоставил работодателю документы со сведениями о себе и своей трудовой деятельности. Сотрудник – это субъект персональных данных, работодатель – оператор, который собирает эти данные о сотруднике, хранит и анализирует, т.е. обрабатывает персональные данные конкретного работника.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения ПДн);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 ФЗ-152).
1.2. Информационная система и виды обработки ПДн
Во многих организациях персональные данные обрабатываются в специальных кадровых, бухгалтерских и других программах, собираются и размещаются на сайтах компаний и др., а также обрабатываются в государственных информационных системах (ГИС).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п.10 ст.3 ФЗ-152).
ФЗ-152 определяет следующие способы обработки персональных данных:
1) неавтоматизированная – обработка ПДн без использования средств автоматизации, т. е. вручную, когда сведения вносятся человеком. Особенности организации такой обработки ПДн, а также меры по защите ПДн обозначены в Постановлении Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В этом документе прописан порядок работы с материальными носителями ПДн и меры по обеспечению безопасности ПДн при такой обработке.
2) автоматизированная – обработка персональных данных с помощью средств вычислительной техники (компьютеров и других электронных устройств, баз данных, средств криптозащиты, программ, скриптов и тп. 9 (п. 4 ст.3 ФЗ-152). Состав и содержание мер по обеспечению безопасности персональных данных существенно больше, чем при неавтоматизированной обработке, и обозначены в приказе ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
