Персональные данные – что это такое?
- 1 Персональные данные – что это?
- 2 Виды персональных данных
Все вопросы, связанные с персональными сведениями о частных лицах, регламентируются Федеральным законом № 152-ФЗ “О персональных данных”. Им определяется получение, хранение (систематизирование), обработка, использование и защита персональной информации, а также ее классификация. В этой обзорной статье мы дадим базовую информацию о персональных данных и о том что к ним относится.
Персональные данные – что это?
Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных).
Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме.
При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного).
Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта).
Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку.
Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.
Виды персональных данных
Согласно вышеуказанному закону, все персональные данные (ПД) разделяются на 4 категории:
- общие;
- биометрические;
- специальные;
- общедоступные (либо обезличенные).
Самым значимым видом сведений о частном лице являются общие персональные данные – именно они несут основную информацию о человеке.
К этому типу относят практически все данные личного характера – ФИО, данные паспорта, ИНН, образование, семейное положение, номер страхового пенсионного свидетельства, номер мобильного, домашнего или рабочего телефона, уровень дохода клиента, информация о трудовой занятости и прочее.
Сведения общего характера чаще всего заполняются согласно предоставленным документам, но могут быть зафиксированы и со слов самого физического лица.
Согласие на получение общих персональных данных чаще всего необходимо предоставлять для обслуживания в кредитных организациях, у оператора сотовой связи, интернет провайдера и даже в розничных магазинах (например, для оформления дисконтной карты и последующего получения информации о различных скидках или акциях).
К биометрическим персональным данным в основном относят сведения, необходимые для проведения каких-либо медицинских процедур или установления личности человека по физиологическим параметрам. Это может быть группа крови, рост, вес, дактилоскопические данные, результаты анализов ДНК. В некоторых случая к биометрическим сведениям относят и фотографии частного лица. Исключение – фото и видео, полученные во время проведения публичных либо массовых мероприятий.
Согласие на обработку биометрической персональной информации чаще всего необходимо оформлять для проведения медицинского обследования или лечения.
Под специальными ПД понимается информация, которая говорит о расовой принадлежности частного лица, религиозных взглядах либо философских суждениях, о состоянии психологического и физического здоровья. Такие данные заполняются согласно медицинским справкам или со слов самого частного лица.
Информация специального характера может потребоваться при трудоустройстве на новое место работы или, например, при участии в политической деятельности.
Выделяется еще один вид персональных данных – сведения, которые являются изначально общедоступными или обезличенными, а, значит, не могут быть скрыты. К такому общедоступному типу персональной информации относится, например, доходы сотрудников государственных и муниципальных органов. Обезличенные же сведения не принадлежат какому-либо конкретному субъекту персональной информации и находятся в свободном для всех доступе.
Источник: https://privatbankrf.ru/materialy/personalnyie-dannyie-chto-eto-takoe.html
Какие данные являются персональными и при каких условиях
Какие данные являются персональными — важный вопрос для любой организации или ИП, поскольку при обработке таких данных требуется соблюдать требования закона, а за их невыполнение предусмотрены суровые меры ответственности. Расскажем, по каким критериям можно понять, относятся ли данные к персональным, и разберем, какие именно данные сегодня можно однозначно отнести к персональным.
Понятие персональных данных и правовое регулирование
Особенности отнесения некоторой информации к личной
Итоги
Понятие персональных данных и правовое регулирование
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Иные персональные данные
Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:
- Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
- Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.
Особенности отнесения некоторой информации к личной
Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.
Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.
Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.
В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.
Номер телефона
Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.
Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.
Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст.
53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя.
Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.
Электронная почта
Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.
Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, [email protected]). В этом случае электронная почта относится к личным данным.
Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.
ИНН, СНИЛС, паспортные данные
В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.
Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.
Итоги
Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.
Если у вас остались нерешенные вопросы, ответы на них вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.
Источник: https://nalog-nalog.ru/personalnye_dannye/chto-takoe-personalnye-dannye/
Что относится к персональным данным с точки зрения российского регулятора (персональные данные в облаке, часть 1)
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Что такое ПДн
Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.
Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».
Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица.
Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен.
Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».
На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».
То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.
Для лучшего понимания ситуации рассмотрим пример:
Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Зачем Роскомнадзор вводит понятие “идентификатора”
И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:
- Номер и серия паспорта.
- Страховой номер индивидуального лицевого счета (СНИЛС).
- Идентификационный номер налогоплательщика (ИНН).
- Биометрические данные.
- Банковский счет, номер банковской карты.
Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения.
К ним относятся:
- Фамилия, имя, отчество, дата рождения, место прописки.
- Фамилия, имя, отчество, дата рождения, должность.
- Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.
При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.
Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, [email protected]).
Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.
Файлы cookie и персональные данные
Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска.
Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.
Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.
Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.
Решение проблемы
Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.
Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:
- Операционная система.
- Часовой пояс и время браузера в 24-часовом формате.
- Язык браузера.
- Глубина цвета и разрешение экрана.
- Поддерживает ли браузер и/или включен JavaScript.
- Версия JavaScript, поддерживаемая браузером.
- Тип соединения, используемый для передачи данных.
- Размер окна браузера.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон.
И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Остались вопросы?
Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.
Источник: https://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/
Требования закона о персональных данных | Ответственность за нарушение | Awara
Согласно изменениям в федеральный закон «О персональных данных», вступающим в силу 1 сентября 2015, компании, осуществляющие обработку персональных данных, должны обрабатывать персональные данные российских граждан с использованием баз данных, размещенных на территории России. Новые требования законодательства в первую очередь скажутся на деятельности IT компаний и их клиентов, использующих облачные сервисы для хранения информации.
Ниже мы ответим на самые частые вопросы по данной теме.
1. Что является персональными данными?
Персональными данными является любая информация о физическом лице, в том числе:
- Адрес электронной почты, содержащий в себе фамилию и/или название компании;
- Номер банковской карты, а также, в определенных случаях, код CVC;
- В некоторых случаях, номер мобильного телефона (так называемые «конфиденциальные персональные данные»)
Например:
Электронный адрес: [email protected] – является персональными данными
Электронный адрес: [email protected] – не является персональными данными.
Необходимо отметить, что даже в случае, если информация, относящаяся к субъекту персональных данных, не позволяет идентифицировать физическое лицо, при определенных обстоятельствах такая информация может являться персональными данными.
В настоящий момент Роскомнадзор разрабатывает четкие критерии определения «персональные данные»1.
2. Какие компании попадают под действие новых требований закона?
- Компании, зарегистрированные в России;
- Иностранные компании, имеющие представительства и филиалы в России;
- Иностранные компании, деятельность которых направлена на территорию России и и/или включает в себя обработку персональных данных российских граждан.
Например:
Если гражданин России, работающий в российском представительстве иностранной компании, может просматривать и загружать информацию о себе на общий внутренний портал иностранной компании, и сервер, на котором обрабатывается и хранится данная информация, располагается за пределами России, то такая компания может быть признана нарушающей требования закона о локализации персональных данных на территории России.
3. Распространяются ли требования закона на «обезличенные» персональные данные?
Если компания передает зашифрованные персональные данные за рубеж, и при этом принимающий сервер ни при каких условиях не может осуществить дешифрацию полученных персональных данных, то такие действия компании не могут быть признаны нарушением требований закона о локализации персональных данных в России, поскольку в данном случае отсутствует факт передачи персональных данных за пределы России. Иными словами, за рубеж осуществляется передача не персональных данных, а зашифрованного кода.
Действия в части IT
- Провести IT-аудит:
- Определить, где происходит сбор, обработка, и хранение персональной информации, и кто отвечает за эти процессы в компании;
- Используя DLP-системы, определить, как организовано перемещение данных в компании;
- Сравнить, какой объем информации находится на внутренних серверах компании, а какой — на серверах третьей стороны, поскольку часть данных может храниться у сторонней организации;
- Проверить, насколько четко организована процедура резервного копирования и восстановления, и убедиться, что вам точно известно место хранения резервных копий;
- Установить, какое программное обеспечение используется для сбора, обработки, и хранения персональных данных.
- Определить, какая информация, использующаяся в работе компании, попадает (или может попадать) под категорию персональных данных. Особенно это касается данных, задействованных в работе кадрового и расчетного отделов, отдела IT-безопасности, бухгалтерии, данных из CRM-систем и клиентских соглашений;
- Проанализировать IT-инфраструктуру компании с целью определить возможные «центры» обработки персональных данных за пределами России;
- Оценить риски;
- Основываясь на полученных результатах, разработать стратегию и план действий, а также определить размер бюджета для возможных преобразований.
Юридические действия
Для локализации персональных данных российских граждан на территории России, необходимо:
- Провести юридический аудит обрабатываемых компанией сведений о субъектах персональных данных для того, что бы определить, что из них относится к персональным данным в соответствии с применимым законодательством;
- Привести внутреннюю документацию компании в соответствие с новыми требованиями к процедуре обработки и хранения персональных данных, в частности:
- политику о персональных данных компании или иной документ, оформляющий порядок обработки персональных данных;
- согласия работников и иных субъектов персональных данных на обработку их персональных данных;
- иные документы, регламентирующие процедуры обработки персональных данных в компании.
- Ознакомить сотрудников с новой версией документации по работе с персональными данными, и получить согласия работников на обработку и трансграничную передачу их персональных данных в соответствии с требованиями законодательства.
- Уведомить контролирующие органы о местонахождении баз данных, используемых для работы с персональными данными российских граждан.
5. Ответственность в случае нарушения закона
В случае нарушения закона для юридических лиц и сотрудников компании (например, генеральный директор или ответственный за работу с персональными данными) предусмотрен административный штраф в размере от 5 000 до 10 000 рублей.
В случае, если в руководящий состав компании входят иностранные граждане, обратите, пожалуйста, внимание на то, что иностранным гражданам, которые привлекались к административной ответственности 2 или более раза в течение 3х лет (вне зависимости от оснований привлечения), может быть отказано во въезде на территорию России.
На данный момент Госдумой принят в первом чтении законопроект об увеличении размера штрафа до 500 000 рублей за нарушение законодательства о персональных данных и увеличении штрафа за незаконную обработку персональных данных до 300 000 рублей.
Изменения в Закон о персональных данных предусматривают также возможность Роскомнадзора ограничить доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных с использованием сети Интернет. Процедура ограничения доступа длительная и многоступенчатая.
Вместе с тем, поскольку закон не ограничивает возможность применения блокировки информации только для определенных категорий операторов персональных данных или ресурсов обработки персональных данных, с юридической точки зрения, существует возможность применить такую процедуру в том числе и ко внутренним системам хранения и обработки персональных данных работников компании (например, Intranet).
C уважением,
Антон Кабаков
Партнёр, Awara
Александр Ермаков
Партнёр, Awara IT Solutions
Контакты
- http://pd.rkn.gov.ru/advisory-council/activity/subject1/newshtm
Источник: https://www.awaragroup.com/ru/blog/localization-of-personal-data-in-russia/
Разглашение персональных данных: понятие, составы
Сведения, которые могут идентифицировать человека (ФИО, адрес, образование, работа и т.д.) охраняются законом. Говоря о защите персональных данных (см. эту статью), мы обратили внимание на то, какие нормы УК РФ, КоАП РФ предусматривают ответственность за совершение определенных правонарушений. Сегодня рассмотрим такой состав правонарушения, как разглашение персональных данных.
Понятие и юридическая характеристика
В соответствии со статьей 7 Федерального знакона «О персональных данных» (далее — Закон) важнейшим принципом охраны личных сведений граждан является конфиденциальность. Это значит, что лица, которым известны персональные данные другого субъекта, обязаны не раскрывать и не распространять эту информацию всем остальным.
Именно это правонарушение мы и рассмотрим в призме административной и уголовной ответственности. Важно отграничивать его от других составов — например, незаконной обработки персональных данных (статья 13.11 КоАП РФ).
Разглашение персональных данных — это деяние, подразумевающее прямое нарушение принципа конфиденциальности, когда лицо, которому известны сведения, передает их другим лицам без согласия субъекта персональных данных.
Состав может применяться к различным категориям лиц. Например, это может быть разглашение персональных данных работника его работодателем, пользователя в сети «Интернете» владельцем сайта и т. д.
Административная ответственность по ст 13.14 КоАП
Здесь есть важный момент: сама статья касается не только персональных данных, но и любой охраняемой законами информации вообще (например, это может быть государственная, коммерческая тайны). Кроме того, применяется статья только к тем нарушителям, которые узнали о сведениях именно в связи с выполнением служебных или профессиональных обязанностей. Следовательно, раскрытие информации владельцем сайта о пользователях сюда относиться не будет (но может быть применена другая норма КоАП).
Предусмотрены относительно небольшие штрафы: 500-1000 рублей для нарушителей-граждан, 4000-5000 рублей для должностных лиц (к ним приравниваются адвокаты).
Разглашение персональных данных: УК РФ
Здесь речь идет о статье 137 Уголовного кодекса РФ. По этой статье наказанию подлежит любое нарушение неприкосновенности частной жизни, в том числе собирание и разглашение информации о частной жизни лица, которая составляет его личную или семейную тайну.
Обратим внимание на формулировку: этот состав будет применяться к посягательству только на те сведений, которые затрагивают личность — по сути эта информация и будет персональными данными. При этом сведения коммерческой или государственной тайны сюда относиться не будут.
Наказания достаточно суровы и доходят даже до лишения свободы. При этом в статье 137 УК РФ есть квалифицированные составы (т. е. такие, которые признаются более общественно опасными). К ним относятся: разглашение сведений с использованием служебного положения; использование в публичных выступлениях, СМИ, в Интернете информации, которая относится к личности лица, не достигшего 16 лет.
Гражданско-правовая ответственность
Если разглашение информации повлекло причинение моральных (нравственных) страданий гражданину, он вправе взыскать с нарушителя компенсацию морального вреда, если сумеет доказать причинение этих страданий.
В качестве доказательства можно представить, например, справку из больницы, из которой будет явствовать, что человек проходил лечение от психического или нервного перенапряжения. Желательно также доказать связь между попаданием в больницу и раскрытием сведений о личности.
Источник: http://copylegal.ru/prochie-kategorii/razglashenie-personalnyx-dannyx/
Защита персональных данных пациента
Сегодня всё чаще появляются судебные дела, возбуждённые в отношении медицинских работников за разглашение врачебной тайны и персональных данных. Анализ контрольно-надзорных мероприятий Роскомнадзора за 2015 год показывает, что каждая вторая проверка выявляет нарушения.
Обычно факты нарушения происходят из-за тотального непонимания медработниками законодательных требований по работе с персональной информацией и врачебной тайной.
Задача руководителя вести разъяснительную работу со всем персоналом медорганизации: с врачами, медсёстрами, санитарами, сотрудниками регистратуры и другими.
Чтобы помочь руководителям и работникам медицинских организаций разобраться в этом вопросе, «Академия профессионального развития» провела вебинар «Законодательные требования к организации работы с персональными данными пациента и врачебной тайной в медицинских организациях: формирование внутреннего документооборота». Экспертом выступила юрист Юлия Павлова
Защита персональных данных пациента регулируется Федеральным законом от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных». Также защита персональных данных пациента – обязательный элемент профстандартов.
Часто в правоприменительной практике юристы сталкиваются с тем, что средний медицинский персонал недооценивает необходимость сохранения врачебной тайны и персональной информации. В медицинском сообществе сложилось мнение, что это этическая норма. Да, правовой основой врачебной тайны является этика. Но эта этическая норма охраняется законом.
– Врачебная тайна – это не просто право пациента, это принцип охраны здоровья, – утверждает Павлова.
Врачебную тайну нельзя разглашать даже после смерти пациента. Смерть гражданина не влечёт прекращения режима конфиденциальности информации о состоянии его здоровья, фактах обращения за медицинской помощью, лечении и так далее. Сведения, полученные при обследовании и лечении, в том числе личного характера — врачебная тайна.
Охрана врачебной тайны после смерти — международная норма. Родственники получают копии медицинской документации, если пациент при жизни выразил согласие.
Суды признают правомерными отказы медицинских учреждений в предоставлении сведений, составляющих врачебную тайну, по запросам адвокатов. Даже если пациент заключил соглашение с адвокатом об оказании юридической помощи, адвокат не вправе требовать предоставления информации, составляющей врачебную тайну.
С письменного согласия гражданина или его законного представителя допускается разглашение врачебной тайны в целях:
- медицинского обследования и лечения пациента;
- проведения научных исследований, их опубликования в научных изданиях;
- использования в учебном процессе и в иных целях.
Законный представитель и представитель отличаются друг от друга в правовом смысле. Законные представители — родители, усыновители, опекуны и попечители. С 15 лет человек сам даёт согласие на отказ от медицинского вмешательства, и родители получают сведения о состоянии здоровья ребёнка только с его письменного согласия.
Павлова отмечает, что сейчас очень важен документооборот. Он является доказательной базой. Если согласие на обработку персональных данных подписывает ненадлежащий субъект — это пустая бумага.
Если человек не может подписать какой-то документ, то составляется акт, который подтвердит этот факт.
10 оснований для разглашения врачебной тайны
Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
- для проведения медицинского обследования и лечения человека, который не в состоянии выразить свою волю;
- при угрозе эпидемий, массовых отравлений и поражений;
- по запросу:
- органов дознания и следствия, прокуратуры или суда во время расследования дела;
- органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем поведения условно осуждённого или освобождённого условно-досрочно;
- органов исполнительной власти для контроля прохождения больными наркоманией лечения от наркомании и реабилитации, возложенного на них при назначении судом административного наказания.
- при оказании медпомощи несовершеннолетнему до 15 лет (больному наркоманией – до 16 лет) для информирования родителей или других законных представителей;
- для информирования полиции о поступлении пациента, вред здоровья которому причинён в результате противоправных действий;
Это не только право и законное основание для разглашения врачебной тайны, но ещё и обязанность медицинской организации.
- для проведения военно-врачебной экспертизы по запросам военных комиссариатов, военно-врачебных комиссий;
- для расследования профессионального заболевания или несчастного случая на производстве, в образовательной организации, в физкультурно-спортивной организации и во время спортивных соревнований;
- при обмене информацией медицинскими организациями для оказания медицинской помощи;
- для контроля в системе обязательного социального страхования;
– Когда эксперты запрашивают медицинскую документацию, то это законно, если это происходит в рамках осуществления ими контроля качества, – поясняет Павлова. – Поэтому это абсолютно нормально. Вот раньше для этого не было основания и непонятно было. Ну, был подзаконный акт, который это регулировал, а это не может регулироваться никаким приказом Минздрава. Это должна быть норма Федерального закона.
- для контроля качества и безопасности медицинской деятельности.
Юлия Павлова советует не спешить предоставлять сведения. Сначала нужно удостовериться, что это сотрудники Росздравнадзора, которые имеют право получать сведения, проводить проверки, запрашивать медицинскую документацию и так далее. Сомневаетесь — спросите у юриста.
Требуется ли согласие пациента на видеонаблюдение в медорганизации?
Согласно Разъяснениям Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» посетители публичных мест заранее извещаются администрацией о возможной фото- и видеосъёмке объявлениями и другими визуальными предупреждениями. При соблюдении указанных условий согласие пациента на фото- и видеосъёмку не требуется.
Системы аудио- и видеонаблюдения устанавливают для усиления безопасности и сохранности материальных ценностей и дорогостоящего оборудования, для внутреннего контроля качества и безопасности медицинской деятельности. Главное, чтобы эта информация не вышла за пределы медорганизации.
Как ведётся обработка персональных данных?
Обработка персональной информации производится только с согласия пациента и включает в себя:
- сбор, запись и систематизацию;
- накопление, хранение и уточнение – обновление или изменение;
- использование и передачу;
- обезличивание, блокирование и уничтожение.
Исключения:
- обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов пациента, если получение его согласия невозможно;
- обработка персональных данных в медико-профилактических целях, в целях установления диагноза, оказания медицинских услуг при условии, что работу осуществляет профессиональный медицинский работник, который обязан сохранять врачебную тайну.
Отказ от подписания согласия на обработку персональных данных не может служить основанием для отказа от оказания медицинской помощи!
Сообщать такие сведения – право, а не обязанность пациента. Медицинская организация не может требовать представления этих сведений в принудительном порядке или отказывать пациенту в оказании медицинской помощи и заключении договора оказания медицинских услуг.
Что делать, если пациент требует уничтожить медицинскую карту?
В статье 79 закона «Об основах охраны здоровья граждан в Российской Федерации» говорится об обязанности медицинской организации вести медицинскую документацию в установленном порядке и предоставлять отчётность по видам, формам, в сроки и в объёме, которые установлены уполномоченным федеральным органом исполнительной власти.
Сведения в медицинской карте необходимы для составления отчётности. Медкарту не уничтожают до истечения утверждённых сроков хранения, даже если этого требует пациент.
Как быть готовым к проверке Роскомнадзора?
Проверки подразделяются на плановые и внеплановые.
Внеплановые проверки проводятся, когда выявляются нарушения в действиях организации, осуществляющей обработку персональных данных, и когда в Роскомнадзор поступают обращения, жалобы граждан. О внеплановой проверке Роскомнадзор предупреждает за 24 часа до начала проверки.
Предупреждение о плановой проверке приходит максимум за 3 рабочих дня до даты её начала. Такие проверки проводятся по утверждённому на год плану, поэтому к ним можно и нужно заранее готовиться.
Чтобы узнать, когда ждать плановой проверки, зайдите на сайт Управления Роскомнадзора вашего региона и просмотрите план деятельности управления на текущий год.
Алгоритм подготовки к проверке:
- Проведите внутренний аудит для анализа процессов обработки персональной информации в учреждении.
В процессе аудита определяются:
- перечень информационных систем, в которых обрабатываются данные;
- цели обработки;
Для ЛПУ – это выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
- в ЛПУ обрабатываются: ФИО, дата рождения, адрес, семейное положение, место работы и сведения о состоянии здоровья;
- категории субъектов, данные которых обрабатываются в ЛПУ: пациенты и сотрудники учреждения.
- Назначьте ответственных за организацию обработки и за обеспечение безопасности персональной информации.
Как правило, в лечебно-профилактических учреждениях за организацию обработки персональных данных отвечает заместитель главного врача или сам главный врач, за обеспечение безопасности персональных данных – системный администратор или программист.
- Подготовьте необходимые документы.
В пакет документов обязательно входит Политика в отношении обработки персональных данных. Этот документ содержит в себе принципы и условия обработки персональной информации пациентов и сотрудников учреждения.
Политика размещается в общедоступном месте или на сайте ЛПУ, чтобы каждый мог с ней ознакомиться. Также подготавливаются приказы, положения, инструкции, которые позволяют выполнить все требования законодательства.
- Подайте уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор.
Источник: https://academy-prof.ru/blog/personalnye-dannye-pacienta-v-lpu
Какие персональные данные являются общедоступными
Каждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).
Что такое общедоступные ПД?
К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.
https://www.youtube.com/watch?v=qN55fdcIdpI
К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:
- ФИО;
- дата и место рождения;
- домашний адрес;
- номер телефона;
- профессия;
- индивидуальный налоговый номер;
- место работы или учебы и другие сведения.
В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.
К общедоступным данным относится также персональная информация, которая предоставляется:
- при трудоустройстве, заключении контракта или трудового договора;
- во время переписи населения;
- при оформлении договорных отношений во время торговых операций и других подобных ситуациях.
Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».
Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.
Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.
Обработка общедоступных данных
Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.
Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.
ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.
Права субъектов общедоступных данных
Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.
Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.
Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.
В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.
В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.
Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/kakie-personalnye-dannye-yavlyayutsya-obshchedostupnymi/
Что относится к персональным данным: виды тайн и сведений
Рассказать ВКонтакте в Одноклассниках
В современных условиях от граждан часто требуется согласие на обработку сведений частного характера, например, при визите к врачу. Во многих случаях подпись на бланке ставится автоматически. Открывая доступ к информации о себе, важно знать и соблюдать правила.
Какие сведения считаются персональными данными
Распространенные персональные данные:
- Фамилия, имя, отчество физического лица. В этом ракурсе физлицо выступает в виде субъекта ПДн.
- Дата и место рождения.
- Адрес регистрации и проживания.
Персональные данные работника концентрируются в информационной системе (ИС). Она может быть цифровой или аналоговой (компьютерной базой или личным делом в бумажной папке). При этом законодательные требования распространяются на ПД вне зависимости от технической реализации инфосистемы. Существуют разные способы обработки личной информации физлица – сбор, классификация, уточнение и др.
Понятие ПДн относится не только к гражданам, но и к юридическим лицам вне зависимости от организационно-правовой формы (фирмы, компании, организации, коммерческие предприятия и т. д.). Их особенностью является то, что на их основе происходит идентификация не конкретного человека, а определенной компании. Официальные сведения о компании нужны при заключении договоров и т. д.
Физические лица
К персональным сведениям для этой категории субъектов относятся:
- ФИО;
- дата и место рождения;
- гражданство;
- адрес регистрации и проживания;
- решение о полной или частичной недееспособности;
- семейное положение + информация о членах семьи;
- образование;
- место работы;
- оклад, страховые и налоговые отчисления;
- воинская обязанность.
Существуют особенности отнесения разных данных к категории персональных у физических лиц:
- Номер телефона. Относится к ПДн, если информация о владельце есть в общедоступном источнике (например, на сайте депутата указаны контакты для прямого обращения).
- Верификационные параметры для авторизации на разных интернет-сервисах являются ПДн по определению и не подлежат разглашению третьим лицам.
- Фото- и видеозаписи. Относятся к ПДн только в ситуации, когда по ним можно провести идентификацию физического лица. Исключением является фото- или видеосъемка, произведенная на мероприятиях, имеющих массовый характер. Если запись порочит честь, достоинство или деловую репутацию человека, он в соответствии с частью 1 статьи 152 Гражданского Кодекса РФ может требовать опровержения.
К числу персональных сведений в этом случае относится информация, которую сотрудник должен сообщить при устройстве на работу. В основной части они совпадают с ПДн для физлица и предназначены для занесения в личное дело работника. По причине того, что сотрудник заполняет типовой бланк, в ИС могут попадать сведения, не связанные с выполнением им своей работы.
Дополнительно к личной информации физлиц персональное досье работника предприятия в обязательном порядке включает:
- должность;
- ИНН;
- заявление о приеме на работу;
- оклад;
- СНИЛС;
- трудовой стаж (+ на этом предприятии);
- справки о поощрениях и взысканиях со стороны администрации;
- информацию об использованном отпуске;
- медсправки и/или документы о диспансеризации (если это требуется условиями работы).
Работодатель не имеет права (и это прописано в законах):
- Передавать третьим лицам личные данные без согласия самого работника (защита данных).
- Запрашивать сведения о состоянии здоровья сотрудника без согласия. Исключением являются ситуации, когда это непосредственно связано с выполнением работником своих функций.
Обязанностью работодателя является:
- Защитить имеющиеся в его распоряжении ПД от стороннего доступа и разрешить знакомство с ними только специально уполномоченных сотрудников, предоставляя им данные в пределах их компетенции.
- Предупреждение третьих лиц, которым передается информация о работнике, что она может быть использована только для конкретных затребованных целей. Законодательством наложен запрет на несанкционированное распространение личных данных и виновные могут быть привлечены к ответственности.
- Закрепить соответствующим образом (например, подписью в специальном бланке) обязательство соблюдения конфиденциальности лицами, которым передаются ПД.
Помимо массива сведений, обязательного для работника предприятия, в число ПДн для этой категории тружеников входит:
- стаж + выслуга лет;
- должность;
- классный чин (если есть);
- разряд по тарифной сетке;
- ученая степень, награды, поощрения;
- допуск для работы с секретными материалами;
- справки об аттестации и повышении квалификации;
- справка о судимости;
- медсправки, копии больничных.
Юридические лица
К этой категории сведений относятся:
- наименование организации;
- юридический и фактический адрес;
- номера лицензий;
- ОГРН;
- ИНН;
- КПП;
- номер расчетного счета и другие банковские реквизиты.
Нормативно-правовая база
Основные юридические документы, устанавливающие принципы использования ПДн:
- Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.
Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:
Источник: https://sovets.net/20918-chto-otnositsya-k-personalnym-dannym.html
Персональные данные
Персональные данные — это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.
История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы.
В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных.
В 2010 году был принят Закон «О защите персональных данных», который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.
Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.
Пример персональных данных
Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, с целью возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.
База персональных данных
Следует обратить внимание на то, что согласно ст. 5 Закона, объектом защиты являются только персональные данные при их обработке в базах персональных данных.
При этом под «базой персональных данных» в Законе понимается именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, а под «обработкой персональных данных» понимается определенное действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной ) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.
Обработка персональных данных
Базы персональных данных подлежат обязательной государственной регистрации, осуществляемой специальным государственным органом по вопросам защиты персональных данных в Государственном реестре баз персональных данных.
Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления уполномоченного государственного органа.
Несмотря на это, уполномоченный орган имеет право на отказ в регистрации в случае несоответствия заявления о регистрации требованиям Закона.
Согласно Закону обработка персональных данных может осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законодательством Украины, в порядке, установленном законодательством.
Если цель обработки меняется, то от субъекта персональных данных должно быть получено согласие на обработку персональных данных с новой целью.
При этом не разрешается обработка персональных данных о физическом лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека.
Закон также устанавливает, что состав и содержание персональных данных должны соответствовать и не быть избыточными относительно цели их обработки. При этом объем персональных данных, которые включаются в базу персональных данных, должен соответствовать условиям согласия субъекта персональных данных. Субъект персональных данных имеет право, предоставляя такое согласие, ограничить право на обработку своих персональных данных.
Кроме того, следует отметить предоставленное Законом право субъекта персональных данных знать о местонахождении базы персональных данных, в которой содержатся его персональные данные, а также о местонахождении владельца и распорядителя такой базы данных, право на информацию о третьих лицах, которым передаются его персональные данные, а также на бесплатный доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных. Также Закон устанавливает определенные случаи, в которых субъект персональных данных должен письменно информироваться о его правах или действиях, выполненных с его персональными данными.
Владельцем базы персональных данных может быть физическое лицо-предприниматель или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку персональных данных. Такое лицо должно утвердить цель обработки персональных данных, установить состав обрабатываемых данных и процедуры их обработки, если иное не установлено законом.
https://www.youtube.com/watch?v=nCVP9jqDTQI
Владелец базы персональных данных имеет право передать персональные данные для обработки распорядителю базы персональных данных на основании письменного соглашения.
Согласно Закону, банк обязан получать письменное разрешение на их обработку. Такое разрешение обычно запрашивается еще на стадии анкетирования клиента. В случае согласия персональные данные могут быть переданы третьим лицам и использованы для продвижения продуктов и услуг банка.
Если человек отказывает в обработке своих данных, то по закону кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Однако многие банки в случае несогласия клиента на обработку данных могут вообще отказаться предоставлять ему услуги.
Источник: https://discovered.com.ua/glossary/personalnye-dannye/
Закон о персональных данных, понятие, хранение и обработка персональных данных работников и граждан
Не всю информацию о человеке и его жизни можно распространять и публиковать в открытых источниках. С самого начала интернет-экспансии границы стираются и данные, которые должны передаваться только с разрешения человека, у него буквально «воруют». Рассмотрим детальнее, что такое персональные данные, что включает в себя это понятие, как хранятся данные с пометкой «ПД», что грозит за нарушение закона и несанкционированное распространение личной информации?
Нормативная база
Перечень законов о персональных данных:
- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
- Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
- Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
- Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
- Постановление Правительства РФ от 15 августа 2006 г. N 504 О лицензировании деятельности по технической защите конфиденциальной информации;
- Постановление Правительства РФ от 31 августа 2006 г. N 532 О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации;
- Приказ ФСБ РФ от 9 февраля 2005 г. N 66 “Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”;
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
- ГОСТы по информационной безопасности и защите информации;
- ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
- ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
- ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
- ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
- ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
- ГОСТ 28147-89 Системы обработки информации.
Федеральный закон “О персональных данных” можно скачать здесь:
Скачать документ бесплатно в Word [283.50 KB]
Классификация персональных данных
Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:
- имя;
- фамилия и паспортные данные;
- место и дата рождения;
- адрес прописки либо проживания;
- семейное положение;
- информация о доходах и задолженностях;
- специальность, профессия,
- информация о занятости;
- доходы.
Сюда так же может относиться информация о социальных связях, контактах, личной жизни, покупках гражданина либо членов его семьи.
Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.
Номер телефона является персональной информацией в РФ, так, как он привязан к паспортным данным.
Общие ПД
К общим данным можно отнести те, которые находятся “на поверхности”. Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность. Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.
Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.
Полиция и правоохранительные органы не имеют права снимать у граждан отпечатки пальцев без веской причины и заносить их информацию в базу данных.
Специальные ПД
Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.
Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.
Обезличенные ПД
Это те данные, принадлежность которых невозможно установить. Обезличивание – процесс “отчуждения” данных, который делает личную информацию публичной.
Пример: В организации работают 2 сотрудника – мужчина и женщина. Мужчина соблюдает дресс-код, а женщина носит паранджу. Если работодатель подаст статистику о количестве верующих и/или религиозных людей, а конкретно – один атеист, один верующий, вычислить кто есть кто будет просто.
https://www.youtube.com/watch?v=Bwesp2STp50
Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.
Что делать, если данные используются без вашего согласия
В первую очередь просмотреть – являются ли они специальными ПД и запрещено ли их распространение. Если закон нарушен – в срочном порядке нужно обратиться в полицию с заявлением, где чётко указать обстоятельства и время кражи. Сослаться на статью 137 УК РФ.
В зависимости от классификации и элементов преступления, можно рассчитывать на возмещение в виде выплаты, размером 1 000 – 50 000 рублей. Для должностных лиц штраф намного выше.
Уголовная ответственность предусматривает лишение свободы сроком до 2 лет (максимальная мера пресечения).
Надеемся, что наша статья помогла читателю разобраться с вопросами ПД. Помните, что законы и права человека в РФ нарушаются ежедневно, а за помощью в правоохранительные органы обращаются только единицы. Если читатель стал жертвой или свидетелем кражи персональной информации – молчать нельзя. Сегодня это чужие права, завтра – ваши.
Источник: https://trud.guru/ohrana/personalnye-dannye.html