Категории субъектов персональных данных

Глава 5. Категории субъектов, персональные данные которых обрабатываются (ст. 11)

Глава 5. Категории субъектов, персональные данные которых обрабатываются

  • Статья. 11. Категории субъектов, персональные данные которых обрабатываются
>
Категории субъектов, персональные данные которых обрабатываются
Содержание
Постановление администрации Киржачского района Владимирской области от 29 декабря 2012 г. N 1623 «Об утверждении Правил.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2019. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Глава 3. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, содержание обрабатываемых персональных данных

Глава 3. Категории субъектов, персональные данные
которых обрабатываются, сроки их обработки и хранения,
содержание обрабатываемых персональных данных

5. К категориям субъектов, персональные данные которых обрабатываются в Службе, относятся:

1) государственные гражданские служащие Иркутской области Службы (далее — служащие);

2) кандидаты на замещение вакантных должностей и на включение в кадровый резерв Службы;

3) лица, направившие в Службу, должностному лицу Службы в письменной форме или в форме электронного документа предложение, заявление или жалобу (далее — обращение), а также устно обратившиеся в Службу;

4) лица, в отношении которых ведется (велось) производство по делу об административном правонарушении, их представители;

6. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

7. Использование персональных данных осуществляется с момента их получения оператором и прекращается:

1) по достижении целей обработки персональных данных;

2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

8. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел Службы.

9. Хранение персональных данных в Службе осуществляется как на бумажных носителях в виде документов и копий документов, так и в электронном виде.

10. В Службе обрабатываются персональные данные в связи с реализацией служебных или трудовых отношений:

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

1) анкетные и биографические данные;

2) занимаемая должность;

3) адрес места жительства;

4) домашний, сотовый телефоны;

5) сведения об образовании, присвоении ученой степени, ученого звания (если таковые имеются);

6) сведения о дополнительном профессиональном образовании;

7) сведения о стаже и профессиональной мобильности;

8) паспортные данные;

9) сведения о воинском учете;

10) сведения о заработной плате (ведомости начисления заработной платы, табель учета рабочего времени, штатное расписание);

11) сведения о социальных льготах;

12) сведения о судимости и дисквалификации;

13) сведения о составе семьи;

14) место работы или учебы членов семьи и родственников;

15) содержание служебного контракта, гражданско-правового договора;

16) сведения о доходах, имуществе и обязательствах имущественного характера служащего, его супруги (супруга) и несовершеннолетних детей;

17) сведения о прохождении и результатах аттестации, присвоении классных чинов;

18) материалы служебных проверок, расследований;

19) сведения о периодах нетрудоспособности, справки о состоянии здоровья;

20) сведения о награждении и поощрении;

21) сведения из записей актов гражданского состояния;

22) сведения о соблюдении служащим ограничений, установленных федеральными законами;

23) идентификационный номер налогоплательщика (ИНН);

24) страховой номер индивидуального лицевого счета (СНИЛС).

11. Обработке в Службе наряду с персональными данными, указанными в пункте 10 настоящих Правил, могут подлежать иные сведения, являющиеся персональными данными, при условии, если обработка таких персональных данных необходима для достижения установленных целей и при этом не нарушаются права и свободы субъекта персональных данных.

12. К документам, содержащим информацию персонального характера, относятся:

1) документы, удостоверяющие личность или содержащие информацию персонального характера;

2) учетные документы по личному составу, а также вспомогательные регистрационно-учетные формы, содержащие сведения персонального характера;

3) служебные контракты, гражданско-правовые договоры, дополнительные соглашения к служебным контрактам и гражданско-правовым договорам, должностные регламенты и должностные инструкции, договоры о материальной ответственности с работниками; соглашения на предоставление субсидии;

4) распорядительные документы по личному составу (подлинники и копии);

5) документы по оценке деловых и профессиональных качеств работников при приеме на работу;

6) документы, отражающие деятельность конкурсных и аттестационных комиссий;

7) документы о результатах служебных расследований;

8) подлинники и копии отчетных, аналитических и справочных материалов, передаваемых в Службу;

9) копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;

10) документы бухгалтерского учета, содержащие информацию о расчетах с персоналом;

11) медицинские документы, справки.

>
Порядок уничтожения персональных данных
Содержание
Приказ Службы по тарифам Иркутской области от 11 мая 2017 г. N 76-спр «Об отдельных мерах по соблюдению требований законодательства.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Статья 10. Специальные категории персональных данных

Статья 10 . Специальные категории персональных данных

См. комментарии к статье 10 настоящего Федерального закона

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Читайте так же:  Процедура присвоения адреса жилому дому

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 2 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

2) персональные данные сделаны общедоступными субъектом персональных данных;

Информация об изменениях:

Федеральным законом от 25 ноября 2009 г. N 266-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.1

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

Информация об изменениях:

Федеральным законом от 27 июля 2010 г. N 204-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 2.2

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 216-ФЗ в пункт 2.3 части 2 статьи 10 настоящего Федерального закона внесены изменения, вступающие в силу с 1 января 2015 г.

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 3 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 6 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 7 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Информация об изменениях:

Федеральным законом от 23 июля 2013 г. N 205-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 7.1

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ пункт 8 части 2 статьи 10 настоящего Федерального закона изложен в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 9, распространяющимся на правоотношения, возникшие с 1 июля 2011 г.

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

Информация об изменениях:

Федеральным законом от 4 июня 2014 г. N 142-ФЗ часть 2 статьи 10 настоящего Федерального закона дополнена пунктом 10, вступающим в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ в часть 4 статьи 10 настоящего Федерального закона внесены изменения, распространяющиеся на правоотношения, возникшие с 1 июля 2011 г.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Категории персональных данных

Разделение на категории персональных данных позволяет правильно и законно обрабатывать информацию. Ведь персональные данные – это любая информация, которая прямо или косвенно относится к конкретному лицу. Это сведения о фамилии, имени, отчестве, дате рождения, адресе, семейном положении, месте рождения, профессии, паспортные данные, сведения доходах и т.п. Среди таких данных Закон выделяет такие, обращение с которыми производится по отличному от общих правил порядку.

Категории персональных данных в законе

Порядок обращения с персональными данными и общую терминологию содержит Закон о защите персональных данных от 27.07.2006 года № 152-ФЗ. Этот закон называет и категории персональных данных:

  • общие категории – перечень открытый. Это любые данные, которые прямо или косвенно относятся к определенному человеку. Поэтому в каждом случае вопрос о том, являются ли данные персональными, решается индивидуально. И зависит от взаимосвязи человека с конкретной информацией.
  • специальные категории. Статья 10 Закона относит сюда сведения о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Причем не только сами такие сведения, но имеющие отношение к этой группе.
  • биометрические персональные данные. Им посвящена статья 11 Закона. Это такие данные, которые характеризуют физиологические и биологические особенности человека (самый яркий пример – отпечатки пальцев, анализы ДНК). При этом таковыми они являются только в случае, если оператор использует эти данные для установления личности субъекта РФ (например, новый способ входа в личный кабинет в банках с помощью сканирования лица).
Читайте так же:  Что включает в себя собственный капитал

Что учесть при работе с отдельными категориями

Персональные данные любой категории относятся к конфиденциальным сведениям. А это значит, что обработка, хранение такой информации осуществляется по определенным правилам.

По общему правилу, требуется согласие субъекта персональных данных. При этом оно должно быть конкретным и информированным. В то же время, отдельное согласие не обязательно, когда человек заполнил электронную форму в интернете о себе. Ведь такая анкета по своей сути уже выражает согласие на обработку информации. Не обязательно такое согласие, если взаимодействие осуществляется в рамках договора, соглашения. А гражданин может отозвать свое согласие. Даже из общедоступных источников (например, адресная книга и т.п.).

Обработка отдельных категорий

По общему правилу обработка такой категории персональных данных, как специальные, запрещена. Но из любого правила есть исключения. Они касаются случаев, когда сам субъект дал согласие на обработку данных. Он мог сам сделать их общедоступными (разместил в социальных сетях и т.п.). И тогда их использование не считается обработкой.

Можно обрабатывать такие данные, если эти действия осуществляются для защиты жизни и здоровья гражданина и т.п. (ч. 2 ст. 10 Закона). Допускается работа с такими данными для реализации международных договоров, если данные получены в ходе Всероссийской переписи населения. Или в медико-профилактических целях, для диагностики диагноза. Разумеется, обрабатывать такие данные можно в целях противодействия экстремизму, терроризму, коррупции и т.п. – субъектам, которым это разрешено на основании закона.

Обработка биометрических данных возможна только с согласия самого гражданина. Либо тогда, когда такое право устанавливает закон, международное соглашение. Например, все осужденные проходят обязательную дактилоскопическую регистрацию. Как и граждане, которые призываются на военную службу. Сотрудники полиции и т.п. Кстати, фотографии и видеозапись тоже относятся к биометрическим персональным данным.

Категории персональных данных

Защита персональных данных
с помощью DLP-системы

П редприятия, начинающие заниматься обработкой персональной информации, касающейся их сотрудников или клиентов, должны соблюдать все установленные законом требования, регламентирующие такую деятельность. Чтобы все операции, выполняемые с применением персональных данных, находились в правовом поле, необходимо выделить их в отдельные категории.

Категории, определенные законом

В России действует закон № 152 «О персональных данных», утвержденный 27.07.06 г. В статье 10 данного нормативного акта говорится о категориях специального типа, а в ст. 11 сказано о применении биометрической информации о человеке. Нормами данного закона накладываются ограничения особого характера на возможности обработки этой информации. Предприятию-оператору персональных данных нужно придерживаться предписанных законом требований, касающихся ограничений их обработки. В противном случае оно будет наказано путем наложения административного взыскания с требованием выплаты довольно крупного штрафа. Об этом гласит статья 13.11, а также статья 5.27 Кодекса об административных правонарушениях.

В случае с проведением различных операций с использованием персональных данных важно различать их по категориям в соответствии с характером информации, которую они содержат. С учетом этого нужно выполнить определенные требования, изложенные в законе.

На законодательном уровне установлены категории, являющиеся:

  • общедоступными;
  • специальными;
  • биометрическими;
  • другими данными.

Категории персональных данных закон не описывает и не выделяет. Некоторые уточненные формулировки имеются исключительно в отношении специальных категорий и биометрической информации. C 01.11.12 г., вступило в действие Постановление Правительства № 1119, в котором содержатся нормы по защите информации во время использования персональных данных в информационных системах.

Разработчики этого Постановления в пункте 5 указали, что есть несколько категорий, которые разделяют персональные данные на общедоступные, специальные, биометрические данные. Также отнесены в отдельную категорию «иные категории» ПД. Информация об этом содержится в абзаце 4 пункта 5 Постановления.

Исходя из сведений, содержащихся в тексте этого абзаца, можно сделать вывод, что «иными» являются категории ПД, входящие в группу данных о гражданине, отнести которые к трем другим категориям нельзя.
Роскомнадзор 27.07.17 г. издал специальные Рекомендации, в пункте 3.4 которых есть напоминание о требовании закона № 152, по которому во время получения ПД их категории должны соответствовать целям, установленным для обработки этих сведений.

Определенные категории персональной информации выделялись в приказе № 55/86/20, изданном ФСБ, ФСТЭК, Минсвязи совместно. Но в 2014 году с 11 марта этот нормативный документ был выведен из перечня действующих.

Сегодня продолжают функционировать Приказы, изданные ФСТЭК № 21 от 18.02.13 и ФСБ № 378 от 19.07.14, в которых нельзя найти более точные определения по разделению ПД по категориям.

Особенности категорий

В ФЗ № 152 и в других нормативах можно найти определения, указывающие, какие из данных можно отнести к общедоступным. Это информация, присутствующая в открытых местах, доступных для ознакомления всеми желающими – неограниченным количеством лиц. К примеру, такие сведения содержатся в телефонных справочниках или других документах, в которые информация заносится по согласию субъекта этих персональных данных.

К такой персональной информации можно отнести:

  • Ф. И. О. субъекта;
  • сведения о дате и месте рождения;
  • домашний адрес;
  • номера телефонов, электронной почты;
  • профессию субъекта ПД и др.
Читайте так же:  Сколько положено дней больничного в год
Видео (кликните для воспроизведения).

Носитель этих данных имеет право требовать, чтобы их удалили из источников, доступных для ознакомления всеми желающими. Исключить эту информацию можно также в соответствии с решением судебных органов или органов государственного управления.

Если компанией запланировано вести обработку биометрических данных или использовать сведения, которые относятся к специальной категории, нужно получить письменное одобрение этих действий от их носителей. Дать согласие на работу с другими ПД субъект, которому они принадлежат, может в любой подходящей для этого форме, позволяющей удостовериться, что такое одобрение было получено. Применять эти данные можно только в соответствии с целью, для которой они были истребованы.

Биометрической считают информацию, которая характеризует человека и позволяет установить его личность. Получить согласие на обработку этих сведений нужно в случаях, если предприятие ведет видеонаблюдение или нужно производить фотографирование.

Не нужно просить разрешения у носителя персональных данных, если проведение видео- и фотофиксации осуществляется в пределах, определенных органами правосудия или по требованию закона о соблюдении безопасности, о государственной службе и др. Об этом говорится в ст. 11 закона № 152.

Специальная персональная информация описывается в ст. 10 этого закона. Особые данные, в соответствии с его нормами, являются группой информации, которая не позволяет по общим характеристикам узнать их субъекта. Подробно об этом указано в ст. 10 ч. 1 закона.

Специальными можно считать сведения, которые характеризуют человека по расовым и национальным признакам, политическим взглядам, религиозным, философским убеждениям. Также к этим данным относят те из них, которые характеризуют физическое лицо в плане гендерной принадлежности и сексуальной ориентации.

В ч. 2 п. 10 закона содержится требование, когда обрабатывать такие сведения допускается. Подобные действия могут выполняться, если субъект в письменном виде дал свое согласие на обработку спецданных или самостоятельно сделал их публикацию в источниках информации общедоступного типа.

Возможна обработка специальных данных в случае выполнения требований законов России, международных договоренностей, органов правосудия.

Также возможна обработка такого рода ПД, если необходимость появилась при защите здоровья, жизни субъекта этих данных или прочих людей, для профилактики или лечения.

Данные проходят обработку в религиозных и общественных организациях, которые могут их использовать в пределах ведения своей деятельности. Как только цель, для которой понадобились специальные данные, была достигнута, их использование нужно немедленно прекратить. Это требование изложено в ст. 10 ч. 4 закона № 152.

Категории субъектов персональных данных

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Назначение и область применения

Настоящая Политика в области обработки персональных данных (далее — Политика) разработана на основании ст.18.1 Федерального закона № 152-ФЗ «О персональных данных», и иных нормативных правовых актов Российской Федерации в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее — ПДн).

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн пользователей сайтов Всероссийской общественной организации «Русское географическое общество» (далее — Общество). Настоящая Политика является общедоступным документом и опубликована на официальном сайте Общества в сети Интернет.

Положениями настоящей Политики руководствуются все работники Общества.

2. Обозначения и сокращения

ПДн — Персональные данные.

ИСПДн — Информационная система персональных данных.

НСД — Несанкционированный доступ.

3. Принципы обработки персональных данных

Обработка ПДн осуществляется в Обществе на основе следующих принципов:

— обработка ПДн осуществляется на законной и справедливой основе;

— обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей;

— Общество не обрабатывает ПДн, несовместимые с целями сбора персональных данных;

— Общество разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой;

— Общество обрабатывает только ПДн, которые отвечают целям их обработки;

— содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;

— обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;

— при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

— принимаются необходимые меры либо обеспечиваться их принятие по удалению или уточнению неполных или неточных ПДн;

— хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн;

— обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Цели обработки персональных данных

Общество осуществляет обработку персональных данных в целях осуществления деятельности Общества согласно законодательству Российской Федерации и Уставу Общества.

5. Категории субъектов персональных данных

Субъектами, ПДн которых обрабатываются в Обществе с использованием средств автоматизации, являются лица, обработка ПДн которых необходима Обществу для осуществления целей, указанных в разделе 4 настоящей Политики.

6. Категории персональных данных

В Обществе обрабатываются общедоступные ПДн.

7. Обработка и обеспечение безопасности персональных данных

Обработка ПДн в Обществе допускается в следующих случаях:

— обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

— обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

— обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн.

— а также обработка ПДн Обществом возможна в иных случаях, предусмотренных федеральным законодательством.

Включение Обществом ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.

Читайте так же:  Кто должен платить за капитальный ремонт

Общество обязуется и обязывает иных лиц, получивших доступ к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Обработка Обществом ПДн прекращается в следующих случаях:

— достижение целей обработки ПДн;

— истечение срока обработки ПДн, предусмотренного федеральным законодательством.

— при отзыве субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям федерального законодательства.

Общество принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:

определяется уровень защищенности ПДнпри их обработке в информационных системах;

— выполняются требования по защите ПДнв информационных системах ПДн в соответствии с определенными уровнями защищенности ПДн;

— применяются необходимые средства защиты информации;

— осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;

— осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;

— устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн;

— контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн.

9. Нарушение политики и ответственность

Общество несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все лица, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Общества по вопросам обработки и обеспечению безопасности персональных данных.

Любые нарушения настоящей Политики и иных локальных актов Общества по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими в Обществе процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

Состав, категории и объем персональных данных

Состав персональных данных определяется соответствующим типом ИСПДн, описанных в разделе 2.

На основе характеристик и особенностей отрасли в части используемых ИСПДн и обрабатываемых в них персональных данных, можно констатировать, что персональные данные субъектов ПДн, обрабатываемых в ИСПДн, относятся как к персональным данным категории 3 (персональные данные, позволяющие идентифицировать субъекта персональных данных), так и к категории 2 (персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).

Персональные данные категории 1 (персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни) в ИСПДн отсутствуют.

Объемы ПДн, обрабатываемых в ИСПДн, для различных уровней реализации служебных процессов (федеральный, региональный, муниципальный, местный) в соответствии с «Порядком проведения классификации информационных систем персональных данных»могут быть трех типов:

Группа Г1– в ИСПДн находятся в процессе автоматизированной обработки персональные данные 100 000 и более либо данные субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом;

Группа Г2– в ИСПДн находятся в процессе автоматизированной обработки персональные данные от 1000 до 100 000 субъектов ПДн либо данные субъектов, в пределах отрасли Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

Группа Г3– в ИСПДн находятся в процессе автоматизированной обработки персональные данные менее 1000 субъектов ПДн или персональные данные субъектов ПДн, работающих в пределах конкретной организации.

Характеристики безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных

В соответствии с «Порядком проведения классификации информационных систем персональных данных» характеристикой безопасности, которую необходимо обеспечить для типовых ИСПДн является конфиденциальность.

Под конфиденциальностью понимается обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания 1 .

Классификация информационных систем персональных данных

Классификация типовых ИСПДн осуществляется на основе следующих характеристик ПДн:

категория обрабатываемых в ИСПДн персональных данных;

объем обрабатываемых ПДн в ИСПДн (персональные данные, находящие в ИСПДн в процессе автоматизированной обработки).

Класс типовой информационной системы определяется в соответствии с таблицей 1, составленной на основе положений документа «Порядок проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России и Министерством информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 года № 55/86/20.

Таблица 1 – Классификация типовых информационных систем

Политика обработки персональных данных: как составить документ

Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Читайте так же:  Регистрация на госуслугах через телефон

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Видео (кликните для воспроизведения).

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Категории субъектов персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here