Как защитить персональные данные

Содержание

Понятие, состав и механизм защиты персональных данных работника

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 88.

Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.

Лекция 12. Защита персональных данных работника

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 |

Как защитить свои персональные данные в интернете?

Сегодня защита персональных данных в интернете стала актуальным вопросом для многих россиян. Различные виды сведений о физических передаются, обрабатываются и накапливаются государственными органами и частными компаниями. При этом наиболее нежелательным сценарием для любого гражданина является утечка персональных данных в сеть и их попадание к злоумышленникам. Рассмотрим подробнее, что такое персональные данные и как их уберечь от незаконного использования.

Что включают в себя персональные данные?

Если кратко, то к данному виду информации относят любые виды личных сведений, которые могут быть прямо соотнесены с конкретным физическим лицом и содержат определенную информацию, характеризующую это физическое лицо. Условно можно выделить следующие виды персональных данных:

  • Реквизиты физического лица: ФИО, номер паспорта, дата рождения, адрес регистрации и прочие данные, позволяющие идентифицировать человека.
  • Сведения о материальном положении человека, трудоустройстве и достатке. Сюда относится уровень доходов, подробные данные о трудоустройстве (сведения из трудовой книжки) и т.п.
  • Данные об имуществе, включая недвижимость и другие виды имущества, проходящего государственную регистрацию (автомобили, доли в ООО, ценные бумаги и т.п.).
  • Медицинская информация, сведения о перенесенных и текущих заболеваниях (сведения из медицинской карточки).
  • Специфические сведения о физическом лице: информация о его интимной жизни, вовлеченности в религиозные организации и т.п.
  • Биометрические личные данные: сканы отпечатков пальцев, анализ ДНК и т.п.

Большинство из этой информации достаточно часто передается нами добровольно, поэтому обезопасить себя от утечки бывает сложно.

Как передаются персональные данные?

По законодательству РФ процессинг персональных данных может осуществляться только с согласия физического лица, которого эти данные касаются. Существует три основных канала передачи:

  • Заполнение различных анкет. Когда человек заполняет сведения о себе и передает представителям некой компании, он соглашается на обработку своих данных.

    Организация защиты персональный данных в организации по ФЗ № 152-ФЗ «О персональных данных»

  • Добровольное сообщение сведений о себе в Интернете. Например, это могут быть сведения в социальных сетях и других ресурсах, где человек может добровольно опубликовать данные, которые подходят под определение персональных.
  • Сбор информации о пользователях на основе косвенных признаков. К примеру, сайт может отслеживать сферу интересов пользователя и анализировать ее.
  • По этим каналам данные от физического лица передаются агрегаторам, которые потом уже могут распоряжаться этими данными по своему усмотрению, однако с соблюдением положений 152-ФЗ от 27.07.2006.

Как пользователю сохранить свои данные от утечек и слежки?

Чтобы не допустить неконтролируемое распространение сведений о себе третьим лицам в первую очередь нужно следить за тем, какие данные вы сами добровольно отдаете. Подобные проблемы гораздо проще предупреждать, чем потом решать. Старайтесь сообщать сведения о себе только проверенным операторам с хорошей репутацией. Кроме того, не стоит в открытых ресурсах вроде социальных сетей публиковать информацию, которая может быть чувствительной к утечке.

Однако если вы обнаружили факт незаконного распространения ваших личных данных в Интернете, злоумышленников можно привлечь к ответственности. Для этого нужно запросить у нотариуса обеспечение доказательств в Интернете и преследовать нарушителя ваших прав по закону, вплоть до обращения в суд. Обратиться к нотариусу для решения этой задачи можно в Москве, по адресу Страстной Бульвар, д.7, стр. 1, 2 этаж, контора работает без выходных, по будним с 11.00 до 21.00, по выходным с 10.00 до 20.00. Консультации по телефону 8 (495) 767-12-77, 8 (495) 609-00-08.

Личные данные работника. Система защиты

Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. N 152-ФЗ (далее — Закон N 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.

Персональные данные в рамках ТК РФ

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных Кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта — обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона N 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных. Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: "порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов" (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Таблица 1. Документы, в которых содержатся персональные данные работников

—————————————————————————¬
¦ N Вид документа Персональные данные сотрудника ¦
¦п/п ¦
+————————————————————————-+
¦ 1 Анкета, другой документ, Анкетные, биографические данные ¦
¦ заполняемый кандидатом на должность физлица ¦
¦ при собеседовании ¦
+————————————————————————-+
¦ 2 Копия паспорта или другого Ф.И.О., дата рождения. Адрес ¦
¦ документа, удостоверяющего личность регистрации, семейное положение ¦
+————————————————————————-+
¦ 3 Трудовая книжка Информация о трудовом стаже, ¦
¦ предыдущих местах работы ¦
+————————————————————————-+
¦ 4 Копия страхового свидетельства Ф.И.О., личные данные ¦
¦ государственного пенсионного ¦
¦ страхования ¦
+————————————————————————-+
¦ 5 Документы воинского учета Информация о воинской обязанности¦
+————————————————————————-+
¦ 6 Документы об образовании, Сведения о квалификации ¦
¦ квалификации, наличии специальных ¦
¦ знаний ¦
+————————————————————————-+
¦ 7 Личная карточка (форма N Т-2 Ф.И.О. сотрудника, место его ¦
¦ утверждена Постановлением рождения, состав семьи, ¦
¦ Госкомстата России от 5 января образование, данные документа, ¦
¦ 2004 г. N 1) удостоверяющего личность, другие ¦
¦ сведения ¦
+————————————————————————-+
¦ 8 Копии свидетельств о заключении Состав семьи, изменения в ¦
¦ брака, рождении детей семейном положении ¦
+————————————————————————-+
¦ 9 Справка о доходах с предыдущего Ф.И.О., данные о доходе и ¦
¦ места работы удержанном НДФЛ ¦
+————————————————————————-+
¦10 Трудовой договор Сведения о должности, зарплате, ¦
¦ месте работы, рабочем месте, ¦
¦ другие персональные данные ¦
+————————————————————————-+
¦11 Приказы по личному составу Информация о приеме на работу, ¦
¦ переводе, увольнении, ¦
¦ назначениях, других событиях, ¦
¦ связанных с трудовой ¦
¦ деятельностью ¦
L—————————————————————————

Положение о персональных данных

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках — положение о персональных данных работников. Разработать внутренний регламент требует и Закон N 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Таблица 2. Основные разделы, которые должны содержаться в положении о персональных данных работников

—————————————————————————¬
¦ N Раздел Содержание ¦
¦п/п ¦
+————————————————————————-+
¦ 1 Общие положения Цель создания документа (защита данных), вопросы, ¦
¦ которые регулирует положение (порядок получения, ¦
¦ обработки, хранения), ссылки на нормативные ¦
¦ документы, на основании которых разработано ¦
¦ положение (Конституция, Трудовой кодекс, ¦
¦ Закон о защите персональных данных) ¦
+————————————————————————-+
¦ 2 Понятия и состав Все определения, связанные с персональными данными¦
¦ персональных ("персональные данные", "обработка персональных ¦
¦ данных данных" и др.) можно взять из ст. 3 Закона ¦
¦ N 152-ФЗ, а также ст. 85 ТК РФ. ¦
¦ Далее перечислить документы, в которых содержатся ¦
¦ персональные данные, и перечислить состав ¦
¦ персональных данных (анкетные данные, домашний ¦
¦ адрес, телефон, сведения о стаже, зарплате и т.п.)¦
+————————————————————————-+
¦ 3 Обязанности Требования, которые должен соблюдать работодатель,¦
¦ работодателя названы в ст. 88 ТК РФ, а также ст. ст. 18 — 21 ¦
¦ Закона N 152-ФЗ ¦
+————————————————————————-+
¦ 4 Обязанности Отдельной статьи, регулирующей этот вопрос, нет. ¦
¦ работника Но в числе обязанностей работника можно назвать ¦
¦ обязанность передавать работодателю документы, ¦
¦ содержащие персональные данные, перечень которых ¦
¦ установлен трудовым и налоговым законодательством,¦
¦ а также своевременно сообщать работодателю об ¦
¦ изменении персональных данных ¦
+————————————————————————-+
¦ 5 Права работника Права работника перечислены в ст. 89 ТК РФ ¦
+————————————————————————-+
¦ 6 Обработка Обработка персональных данных работника — это ¦
¦ персональных получение, хранение, комбинирование, любое другое ¦
¦ данных использование информации о работнике. Общие ¦
¦ требования, которые должны соблюдаться при ¦
¦ обработке, приводятся в ст. 86 ТК РФ, а также в ¦
¦ ст. ст. 6 и 9 Закона N 152-ФЗ. Здесь можно ¦
¦ указать, что всю информацию работодатель собирает ¦
¦ и хранит для трудоустройства и дальнейшего ¦
¦ контроля за качеством выполняемой сотрудником ¦
¦ работы (или сделать отдельный раздел ¦
¦ "Использование персональных данных", где указать ¦
¦ цели использования личной информации). Также можно¦
¦ указать сроки хранения документов ¦
+————————————————————————-+
¦ 7 Передача Порядок передачи персональных данных внутри (это ¦
¦ персональных актуально для организаций), сторонним лицам, ¦
¦ данных государственным ведомствам. Здесь перечисляются ¦
¦ требования, которые должен соблюдать работодатель ¦
¦ при передаче данных. В частности, нельзя сообщать ¦
¦ сведения без письменного согласия сотрудника. ¦
¦ Исключение — случаи, предусмотренные ¦
¦ законодательством (представление сведений о ¦
¦ доходах в налоговую, отчет в фонды) ¦
+————————————————————————-+
¦ 8 Доступ к Оговаривается круг лиц, имеющих доступ к ¦
¦ персональным персональным данным (внутренний и внешний). ¦
¦ данным Перечислить сотрудников, имеющих доступ к ¦
¦ персональным данным (индивидуальный ¦
¦ предприниматель, бухгалтер, сам работник). ¦
¦ Достаточно назвать должности, а конкретных лиц ¦
¦ утвердить отдельным приказом, указав, к каким ¦
¦ именно сведениям тот или иной работник имеет право¦
¦ доступа. Далее следует назвать лиц внешнего ¦
¦ доступа, то есть тех, кому могут быть ¦
¦ предоставлены сведения: государственные ¦
¦ и негосударственные функциональные структуры ¦
¦ (налоговые инспекции, фонды, правоохранительные ¦
¦ органы, страховые агентства, подразделения ¦
¦ муниципальных органов управления и др.), другие ¦
¦ организации (в случае запроса о работающем ¦
¦ или уволенном сотруднике сведения предоставляются ¦
¦ с письменного согласия работника; можно еще ¦
¦ указать необходимость письменного запроса ¦
¦ от организации), родственники и члены семьи ¦
¦ (сведения могут быть предоставлены родственникам ¦
¦ или членам семьи только с письменного разрешения ¦
¦ самого работника) ¦
+————————————————————————-+
¦ 9 Защита Основные действия работодателя для обеспечения ¦
¦ персональных защиты и сохранности сведений: лица, ¦
¦ данных осуществляющие оформление, ведение, хранение ¦
¦ информации (только ИП, ИП и бухгалтер, сотрудники ¦
¦ отдела кадров); форма хранения (в запирающихся ¦
¦ шкафах (сейфах), обеспечивающих защиту от ¦
¦ несанкционированного доступа); хранение сведений в¦
¦ электронном виде (персональные компьютеры, ¦
¦ защищенные паролем доступа); лица, которые вправе ¦
¦ отвечать на письменные запросы о предоставлении ¦
¦ информации (только лица, осуществляющие оформление¦
¦ и хранение, либо лица, имеющие доступ в пределах ¦
¦ предоставленных полномочий); возможность передачи ¦
¦ информации по телефону, факсу, электронной почте ¦
¦ (обязательно письменное согласие работника) ¦
+————————————————————————-+
¦10 Ответственность за Лица, виновные в нарушении норм, регулирующих ¦
¦ нарушение норм, получение, обработку и защиту персональных данных ¦
¦ регулирующих работника, привлекаются к дисциплинарной и ¦
¦ обработку и защиту материальной ответственности в порядке, ¦
¦ персональной установленном Трудовым кодексом и иными ¦
¦ информации федеральными законами, а также привлекаются к ¦
¦ гражданско-правовой, административной и уголовной ¦
¦ ответственности в порядке, установленном ¦
¦ федеральными законами (ст. 90 ТК РФ) ¦
L—————————————————————————

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все — необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Согласие работника

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (пп. 1 п. 1 ст. 6 Закона N 152-ФЗ).

Защита персональных данных работника

Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (пп. 2 п. 1 ст. 6 Закона N 152-ФЗ). Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона N 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться Ф.И.О. и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона N 152-ФЗ).

Образец. Согласие работника на обработку персональных данных

ИП Смирнову А.С.

от менеджера

Киселевой Е.Н.

Заявление на обработку персональных данных

Киселева Елена Николаевна
Я, ——————————————————————-,
г. Москва, ул. Смольная, д. 7, кв. 15
зарегистрированный(ая) по адресу: —————————————-,
45 04 123456 ОВД "Левобережный" г. Москвы 15.04.2002
паспорт серия —— N —— выдан —————————————-
Индивидуальному предпринимателю Смирнову Антону Сергеевичу
даю согласие —————————————————————
г. Москва ул. Полярная, д. 25, кв. 75
адрес: ———————————————————————
на автоматизированную, а также без использования средств автоматизации
обработку следующих персональных данных: Ф.И.О., паспортные данные, дата
рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства
государственного пенсионного страхования __________________________________
в целях соблюдения законодательства, обеспечения личной безопасности,
контроля выполняемой работы, обеспечения сохранности имущества.

Перечень действий с персональными данными:

  • формирование кадровых документов и выполнение требований Трудового кодекса;
  • начисление заработной платы, исчисление и уплата предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование;
  • представление установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ;
  • размещение моих фотографий, фамилии, имени, отчества на интернет-сайте.

1
Данное согласие действительно с — декабря 2011 г. до даты расторжения
трудового договора ________________________________________________________
__________________________________________________________________________.
Согласие может быть полностью или частично отозвано субъектом персональных
данных на основании его заявления.
Дата заполнения 1 декабря 2011 г.
Подпись Киселева

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления. Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные. С другой стороны, налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

В.Романов

Эксперт журнала

II. Методы и способы защиты информации

от несанкционированного доступа

2.1. Методами и способами защиты информации от несанкционированного доступа являются:

реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

резервирование технических средств, дублирование массивов и носителей информации;

использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

использование защищенных каналов связи;

размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.

2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.

Основные методы защиты персональных данных работников

При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

защита информации при ее передаче по каналам связи;

использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

использование средств антивирусной защиты;

централизованное управление системой защиты персональных данных информационной системы.

2.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).

2.6. Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);

периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;

активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;

анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.

Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.

2.7. Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;

управление доступом к защищаемым персональным данным информационной сети;

использование атрибутов безопасности.

2.8. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

создание канала связи, обеспечивающего защиту передаваемой информации;

осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

2.9. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

создание канала связи, обеспечивающего защиту передаваемой информации;

аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;

обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;

обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.

2.10. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

2.11. Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.

2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

2.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.

Методические рекомендации по составлению уведомления об обработке персональных данных

Методические рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (https://pd.rkn.gov.ru/operators-registry-documents/)

Угловой  штамп, бланк организации  

Руководителю Управления Федеральной службы
по надзору в сфере связи,
информационных технологий и массовых коммуникаций
по Челябинской области
М.И. Олениной

УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

1. Наименование ТО Роскомнадзора: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области

2. Тип оператора: Юридическое лицо, индивидуальный предприниматель, государственный орган, муниципальный орган, физическое лицо, иностранный гражданин

3. Наименование оператора / Фамилия, имя, отчество оператора:

  • Для юридического лица: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты; ИНН, ОГРН, Дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ; Наименование филиала(ов), осуществляющих обработку персональных данных, Адрес филиала(ов);
  • Для индивидуального предпринимателя: Наименование оператора, Документ, удостоверяющий личность, Телефон, Факс, Адрес электронной почты;
  • Для государственного органа, муниципального органа: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты;
  • Для физического лица: Фамилия, Имя, Отчество, Документ, удостоверяющий личность, СНИЛС, Телефон, Факс, Адрес электронной почты;
  • Для иностранного гражданина: Фамилия, Имя, Отчество, Гражданство, Документ, удостоверяющий личность, Адрес, Телефон, Факс, Адрес электронной почты.

Публичное акционерное общество «Челябэнергосбыт» (сокращенное — ПАО «Челябэнергосбыт»); Российская Федерация, 454091, г. Челябинск, ул. Российская, д. 260. 

ИНН 7451213318; ОГРН 1057423505732, 21.10.2005;  ОКВЭД …;  ОКПО 74225849;  ОКФС 41;  ОКОГУ 41002;  ОКОПФ 47. 

Если есть филиалы (в другом регионе), то указать — Новосибирский ф-л ПАО «Челябэнергосбыт», Российская Федерация, 630014, г. Новосибирск, ул. Кирова, 10, Ф.И.О. руководителя, тлф., ИНН, ОГРН, дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ.

4. Правовое основание обработки персональных данных (обязательное указание соответствующей статьи, пункта связанных с обработкой персональных данных): п. 2 ч. 2 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ст. 53, ч. 2 ст.

Вы точно человек?

54 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи»; ст.ст. 86-90 Трудового кодекса РФ; п. 4.5 Лицензии № 33799 от 10.08.2005 г., выдана ПАО «Челябэнергосбыт» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию телематических услуг связи; п.3 Устава ПАО «Челябэнергосбыт» утверждённого на общем собрании акционеров 20.01.2006 г.,  протокол № 1.

5. Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии): Выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями граждан обратившихся в ПАО «Челябэнергосбыт»; обеспечение кадрового резерва.

6. Описание мер, по обеспечению безопасности персональных данных, которые оператор обязуется осуществлять при их обработке:

Организационные меры: разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных.

Технические меры:  обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных  носителях, а также по специально выделенной сети.

Средства обеспечения безопасности: сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными;  наличие установленного антивирусного программного обеспечения.

В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств (есть лицензия ФСБ на использование этих средств!)  указываются следующие сведения:

а) наименование, регистрационные номера и производителей используемых криптографических средств;

б) уровень криптографической защиты персональных данных;

в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

г) уровень защиты от несанкционированного доступа.

Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 года № 149/5-144.

7. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации: Разработано и утверждено Положение по обработке персональных данных в ПАО "Челябэнергосбыт", приказами определены лица ответственные и допущенные к обработке персональных данных в ПАО "Челябэнергосбыт", приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, разработано и утверждено Положение о работе с персональными данными в информационной системе персональных данных, назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. Несанкционированный доступ к базам персональных данных исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки (*). На основании модели угроз безопасности информации (частной модели угроз безопасности персональных данных) разработана система защиты информации (СЗИ). Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях — в сейфах (шкафах исключающих  несанкционированный доступ).

8.  Дата начала обработки персональных данных (число, месяц, год): 31.05.2009 г.

9Срок или условие прекращения обработки персональных данных: ликвидация (реорганизация) ПАО «Челябэнергосбыт».

10. Категории персональных данных: непосредственно  персональные данные  (фамилия,  имя,   отчество;  год, месяц, дата; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы); специальные категории ПД (расовая, национальная принадлежность, политические взгляды, религиозные, философские убеждения, состояние здоровья, состояние интимной жизни); биометрические ПД (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность — фото, отпечатки пальцев, ДНК и т.д.). Другие категории ПД (паспортные данные: где, кем, когда выдан; ИНН, СНИЛС, № контактного телефона).

11. Категории субъектов, персональные данные которых обрабатываются: физические   лица,   состоящие   в   договорных   отношениях   с   ПАО   «Челябэнергосбыт»; сотрудники ПАО   «Челябэнергосбыт», с которыми заключены трудовые договоры; граждане обратившиеся в ПАО «Челябэнергосбыт» с жалобами, заявлениями; граждане направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей.

12. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных:Сбор, анализ, обобщение, хранение, изменение, дополнение, передача (без (или) с трансграничной передачей), уничтожение персональных данных. Автоматизированная / Неавтоматизированная / Смешанная обработка персональных данных; С передачей (без передачи) по внутренней сети юридического лица; С передачей (без передачи) по сети Интернет.

13. Осуществление трансграничной передачи персональных данных: Осуществляется (не осуществляется).

14. Использование шифровальных (криптографических) средств: Используется (не используется).

15. Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ: Страна, Адрес ЦОДа, Собственный ЦОД (Да / Нет).

Страна: Россия

Адрес ЦОДа: Челябинская обл, Челябинск г, Российская ул, дом 260

Собственный ЦОД: Да.

16. Ответственный за организацию обработки персональных данных: Фамилия Имя Отчество (для физического лица) / Наименование организации (для сторонней организации), Номера контактных телефонов, почтовые адреса и адреса электронной почты:

Иванов Иван Иванович, тел. 8(351) 000-00-00, 454091, г. Челябинск, ул. Российская, д. 260, E-mail: secr@esbt.ru.

17. Фамилия Имя Отчество исполнителя, Должность, Контактная информация исполнителя.

(*) -Указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Постановлением Правительства РФ от 15.09.08 г. № 687, Постановлением Правительства РФ от 01.11.12 г. № 1119.

Директор      подпись    (И.И. Иванов)   дата 

Время публикации: 15.02.2011 08:01
Последнее изменение: 24.08.2017 15:33