Загрузил morovik

Работа+с+персональными+данными

Работа с персональными
данными
Литвиненко Нина Владимировна
Юрист по трудовому праву, HRD, бизнес-тренер
1
Программа темы
1
Понятие персональных данных
3
Согласие на обработку персональных
данных
2
Категории персональных данных
4
Порядок хранения и обработки персональных
данных
2
Понятие персональных данных
Персональные данные - любая информация,
относящаяся к прямо или косвенно
определенному или определяемому физическому
лицу (субъекту персональных данных).
Ст.3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О
персональных данных"
3
Понятие персональных данных
Традиционно к персональным данным относят:
✔ фамилию, имя, отчество физического лица;
✔ дату рождения;
✔ место постоянного или временного проживания;
✔ данные о семейном положении;
✔ данные, связанные с родом деятельности,
заработком, образованием;
✔ данные паспорта и других документов;
✔ данные о состоянии здоровья;
✔ финансовую информацию и т. п.
4
Понятие персональных данных
Согласно разъяснениям Роскомнадзора, само по
себе имя или даже имя, фамилия, отчество не
будут являться персональными данными в том
смысле, который вкладывается в это понятие в
рамках законодательства; они будут являться
персональными данными, только если по данным
возможно прямо или косвенно определить
конкретную личность.
5
Понятие персональных данных
Исходя из перечня документов, предъявляемых при приеме
на работу, к персональным данным работника,
обрабатываемых работодателем, относятся:
ФИО; паспортные данные; сведения о гражданстве; адрес
места жительства; номер личного телефона или другие
контактные данные; сведения о членах семьи; сведения об
образовании; сведения о занимаемой должности; сведения о
заработной плате; сведения о трудовом и страховом стаже;
сведения о воинском учете; сведения о состоянии здоровья;
сведения о наличии судимости и другие.
6
Категории персональных данных
Обычные персональные данные, то есть это те
сведения о физическом лице, которые не
являются:
✔
специальными персональными данными,
✔
биометрическими персональными данными,
✔
данными, разрешенными субъектом для
распространения.
Фамилия, имя, отчество, образование, место
жительства и др.
7
Категории персональных данных
К специальным категориям персональных
данных Федеральный закон от 27 июля 2006 г. N
152-ФЗ отнес данные, касающиеся:
✔ расовой и национальной принадлежности,
✔ политических взглядов,
✔ религиозных или философских убеждений,
✔ состояния здоровья,
✔ интимной жизни.
8
Категории персональных данных
Биометрические персональные данные — это
сведения, которые характеризуют
физиологические и биологические особенности
человека, на основании которых можно
установить его личность, и которые используются
оператором для установления личности субъекта
персональных данных.
9
Категории персональных данных
Отнесение сведений персонального характера к
биометрическим персональным данным и их
последующая обработка должны
рассматриваться в рамках проводимых
оператором мероприятий, направленных на
установление личности конкретного лица.
10
Категории персональных данных
Не является биометрическими персональными данными
фотографическое изображение, содержащиеся в личном деле
работника, поскольку действия с использованием фотографии в
данном случае не направлены на подтверждение их принадлежности
конкретному физическому лицу, чья личность уже определена и чьи
персональные данные уже имеются в распоряжении оператора.
Однако если фотографическое или видеоизображение используется
в целях распознавания лица, то действия оператора
квалифицируются как обработка биометрических персональных
данных.
Письмо Минцифры России от 28.08.2020 N ЛБ-С-074-24059
11
Категории персональных данных
В целях информационного обеспечения могут
создаваться общедоступные источники
персональных данных (различные справочники,
адресные книги и т.п.).
По требованию субъекта персональных данных
либо по решению суда или иных уполномоченных
государственных органов персональные данные
должны быть исключены из подобных источников.
12
Категории персональных данных
Обезличенные персональные данные — это
данные, по которым невозможно без
использования дополнительной информации
определить их принадлежность конкретному
субъекту персональных данных.
13
Категории персональных данных
К персональным данным, разрешенным
субъектом персональных данных для
распространения (далее - разрешенные
персональные данные) относятся сведения,
доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных
путем дачи отдельного письменного согласия на
обработку персональных данных.
14
Категории персональных данных
С 1 марта 2021 г. из Закона N 152-ФЗ исключена категория
общедоступных персональных данных.
Размещение персональных данных гражданами в открытых
источниках не делает их автоматически общедоступными, и их
обработка не допускается обработка без согласия субъекта, даже
если он самостоятельно предоставил доступ к персональной
информации о себе в открытых источниках.
15
Согласие на обработку ПДн
Согласие субъекта персональных данных должно быть конкретным,
предметным, информированным, сознательным и однозначным (ч. 1 ст. 9
Закона N 152-ФЗ).
Конкретность и предметность Согласия обеспечивается тем, что цели
обработки персональных данных должны быть
✔ четкими,
✔ ясно выраженными,
✔ обоснованными,
✔ понятными.
Цель обработки не следует формулировать слишком обобщенно,
абстрактно.
16
Согласие на обработку ПДн
Согласие не может быть общим, всеохватывающим или
размытым.
Если в процессе обоработки персональных данных меняются
цели обработки, способы и т. п., оператор должен получить новое
Согласие.
17
Согласие на обработку ПДн
Согласие дается субъектом персональных данных или его
представителем в любой позволяющей подтвердить факт его
получения форме, если иное не установлено федеральным
законом.
Если Согласие составляется в форме электронного
документа, то оно должно быть подписано электронной
подписью.
18
Согласие на обработку ПДн
Согласие исключительно в письменной форме требуется на
обработку специальных категорий персональных данных,
касающихся расовой, национальной принадлежности,
политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни,
биометрических персональных данных, на трансграничную
передачу персональных данных на территории иностранных
государств, не обеспечивающих адекватной защиты прав
субъектов персональных данных, персональных данных,
разрешенных субъектом персональных данных для
распространения.
19
20
Порядок хранения и обработки
персональных данных
1. Обработка персональных данных должна осуществляться
на законной и справедливой основе.
21
Порядок хранения и обработки
персональных данных
2. Обработка персональных данных должна ограничиваться
достижением конкретных, заранее определенных и законных
целей:
✔ цели обработки персональных данных должны быть конкретно
определены и доведены до сведения субъекта персональных
данных на начальном этапе сбора конфиденциальной
информации;
✔ данные цели должны быть законными;
✔ последующие действия с персональными данными должны
быть совместимыми с целью обработки, заявленной на момент
сбора этих данных.
22
Порядок хранения и обработки
персональных данных
3. Не допускается объединение баз данных, содержащих
персональные данные, обработка которых осуществляется в
целях, не совместимых между собой
При фиксации персональных данных на материальных
носителях не допускается фиксация на одном материальном
носителе персональных данных, цели обработки которых
заведомо несовместимы.
23
Порядок хранения и обработки
персональных данных
4. Обработке подлежат только персональные данные,
которые отвечают целям их обработки
Обработка конфиденциальной информации должна быть
ограничена лишь теми данными, которые минимально
необходимы для достижения заявленных целей обработки.
24
Порядок хранения и обработки
персональных данных
5. Содержание и объем обрабатываемых персональных
данных должны соответствовать заявленным целям обработки
Законодатель не определяет критериев избыточности
обработки ПДН.
Если какие-либо правовые акты предусматривают
необходимость получения оператором тех или иных сведений о
субъекте, то их сбор и последующая обработка не могут
квалифицироваться как избыточные.
25
Порядок хранения и обработки
персональных данных
6. При обработке персональных данных должны быть
обеспечены точность персональных данных, их достаточность, а
в необходимых случаях и актуальность по отношению к целям
обработки персональных данных. Оператор должен принимать
необходимые меры либо обеспечивать их принятие по удалению
или уточнению неполных или неточных данных.
26
Порядок хранения и обработки
персональных данных
7. Хранение персональных данных должно осуществляться в
форме, позволяющей определить субъекта персональных
данных, не дольше, чем этого требуют цели обработки
персональных данных, если срок хранения персональных данных
не установлен федеральным законом, договором, стороной
которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных
Если срок хранения персональных данных федеральным
законом не предусмотрен, то необходимо использовать условия
договора либо локального акта оператора.
27
Порядок хранения и обработки
персональных данных
Оператор обязан принимать меры, необходимые и
достаточные для обеспечения выполнения обязанностей,
предусмотренных нормативными правовыми актами.
Оператор самостоятельно определяет состав и перечень
мер, необходимых и достаточных для обеспечения выполнения
обязанностей, предусмотренных нормативными правовыми
актами, если иное не предусмотрено федеральными законами.
28
Порядок хранения и обработки
персональных данных
К таким мерам, в частности, относятся:
1) назначение оператором, являющимся юридическим лицом,
ответственного за организацию обработки персональных данных;
29
Порядок хранения и обработки
персональных данных
К таким мерам, в частности, относятся:
2) издание оператором, являющимся юридическим лицом, документов,
определяющих политику оператора в отношении обработки ПДн,
локальных актов по вопросам обработки ПДн, определяющих для каждой
цели обработки ПДн категории и перечень обрабатываемых ПДн,
категории субъектов, ПДн которых обрабатываются, способы, сроки их
обработки и хранения, порядок уничтожения ПДн при достижении целей
их обработки или при наступлении иных законных оснований, а также
устанавливающих процедуры, направленные на предотвращение и
выявление нарушений законодательства РФ, устранение последствий
таких нарушений.
30
Порядок хранения и обработки
персональных данных
К таким мерам, в частности, относятся:
3) применение правовых, организационных и технических мер по
обеспечению безопасности персональных данных ;
4) осуществление внутреннего контроля и (или) аудита соответствия
обработки персональных данных нормативным правовым актам,
требованиям к защите персональных данных, политике оператора в
отношении обработки персональных данных, локальным актам
оператора;
31
Порядок хранения и обработки
персональных данных
К таким мерам, в частности, относятся:
5) оценка вреда, который может быть причинен субъектам Пдн,
соотношение указанного вреда и принимаемых оператором мер,
направленных на обеспечение выполнения обязанностей;
6) ознакомление работников оператора, непосредственно
осуществляющих обработку ПДн, с положениями законодательства РФ о
ПДн, в том числе требованиями к защите Пдн, документами,
определяющими политику оператора в отношении обработки Пдн,
локальными актами по вопросам обработки Пдн, и (или) обучение
указанных работников.
32
Порядок хранения и обработки
персональных данных
Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения
персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
33
Порядок хранения и обработки
персональных данных
Обеспечение безопасности персональных данных достигается, в
частности:
1) определением угроз безопасности персональных данных при их
обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в
информационных системах персональных данных, необходимых для
выполнения требований к защите персональных данных, исполнение
которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности персональных данных;
34
Порядок хранения и обработки
персональных данных
Обеспечение безопасности персональных данных достигается, в
частности:
3) применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению
безопасности персональных данных до ввода в эксплуатацию
информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
35
Порядок хранения и обработки
персональных данных
Обеспечение безопасности персональных данных достигается, в
частности:
6) обнаружением фактов несанкционированного доступа к персональным
данным и принятием мер, в том числе мер по обнаружению,
предупреждению и ликвидации последствий компьютерных атак на
информационные системы персональных данных и по реагированию на
компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
36
Порядок хранения и обработки
персональных данных
Обеспечение безопасности персональных данных достигается, в
частности:
8) установлением правил доступа к персональным данным,
обрабатываемым в информационной системе персональных данных, а
также обеспечением регистрации и учета всех действий, совершаемых с
персональными данными в информационной системе персональных
данных;
9) контролем за принимаемыми мерами по обеспечению безопасности
персональных данных и уровня защищенности информационных систем
персональных данных.
37
38