Работа с персональными данными клиентов

Prom-Nadzor.ru

Положение о работе с персональными данными работника

[организационно-правовая форма, наименование организации, предприятия, учреждения]

[должность, подпись, Ф. И. О. руководителя]

[число, месяц, год]

1. Общие положения

1.1. Настоящее Положение регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые Работодателем действия по получению, хранению, комбинированию, передаче персональных данных Работника или иному их использованию, с целью защиты персональных данных Работника от несанкционированного доступа, а также неправомерного их использования и утраты.

1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» N 149-ФЗ от 27.07.2006 года, Федеральным законом «О персональных данных» N 152-ФЗ от 27.07.2006 года и другими определяющими случаи и особенности обработки персональных данных нормативно-правовыми актами.

2. Понятие и состав персональных данных

2.1. Персональные данные работника — любая информация, необходимая Работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника;

2.2. При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:

— паспорт или иной документ, удостоверяющий личность;

— страховое свидетельство государственного пенсионного страхования;

— документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;

— документ об образовании, о квалификации или наличии специальных знаний;

— справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям — при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.

В отдельных случаях с учетом специфики работы может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

2.3. Запрещается требовать от лица, поступающего на работу, документы, помимо предусмотренных Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

2.4. К персональным данным работника относятся:

— анкетные и биографические данные;

— сведения о воинском учете;

— специальность и занимаемая должность;

— сведения о заработной плате;

— сведения о социальных льготах;

— адрес места жительства, контактный телефон;

— содержание трудового договора;

— приказы по личному составу;

— личное дело и трудовая книжка;

2.5. Указанные сведения и документы являются конфиденциальными. Работодатель как оператор персональных данных не в праве распространять персональные данные без согласия работника, если иное не предусмотрено федеральным законом.

3. Обработка персональных данных работника и гарантии их защиты

3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

— обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

— при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами;

— все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

— работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

— работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;

— при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.3. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым Кодексом, иными федеральными законами и настоящим Положением.

3.4. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

3.6. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

3.7. Для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, Работодатель назначает ответственного за организацию обработки персональных данных.

3.8. Работодатель при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.9. Работодатель осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных федеральному законодательству, требованиям к защите персональных данных, политике Работодателя в отношении обработки персональных данных, настоящему Положению.

3.10. Работодатель обязан ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Работодателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников.

3.11. Работодатель обязан обеспечить безопасность персональных данных следующими способами:

— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

— оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

— учетом машинных носителей персональных данных;

Читайте так же:  Характеристика на призывника от соседей

— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4. Передача персональных данных работника

4.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:

— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо, в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами;

— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);

— осуществлять передачу персональных данных работника в пределах организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

5. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

5.1. В целях обеспечения защиты персональных данных, хранящихся у Работодателя, работники имеют право на:

Полную информацию об их персональных данных и обработке этих данных, в том числе содержащей:

— подтверждение факта обработки персональных данных Работодателем;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Работодателем способы обработки персональных данных;

— сроки обработки персональных данных, в том числе сроки их хранения;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

— определение своих представителей для защиты своих персональных данных;

— доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— обжалование в суд любых неправомерных действий или бездействия Работодателя при обработке и защите его персональных данных.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

6.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

7. Заключительные положения

7.1. Настоящее Положение вступает в силу с момента его утверждения.

7.2. Работодатель обеспечивает неограниченный доступ к настоящему документу.

7.3. Настоящее Положение доводится до сведения всех работников персонально под роспись.

Работа с персональными данными клиентов

«Кадровая служба и управление персоналом предприятия», 2015, N 3

Порядок работы с персональными данными клиентов во многом сходен с порядком работы с персональными данными сотрудников. Его мы рассмотрели в прошлом номере. Однако в работе с персональными данными клиентов есть несколько особенностей, о которых должны знать кадровики.

Кадровым службам (особенно небольших и средних компаний) зачастую приходится работать с персональными данными не только сотрудников, но и клиентов. Прежде всего это касается компаний, продающих товары (выполняющих работы, оказывающих услуги) физическим лицам. Но и компании, работающие в секторе B2B, тоже нередко сталкиваются с персональными данными. Это, к примеру, персональные данные контактных лиц в организациях-контрагентах, физических лиц — консультантов, фрилансеров, иных граждан, которые не являются работниками компании, но оказывают ей услуги (например, врачи для фармацевтических компаний, авторы в журналах, рекрутеры в кадровых агентствах и т.д.).

Примечание. См. статью о работе с персональными данными работников на с. 10 журнала N 2, 2015.

Согласие и уведомление граждан

Начнем с того, что согласие физического лица на предоставление и обработку персональных данных (ПД) является обязательным (ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», далее — Закон N 152-ФЗ). Причем оно может быть получено только в письменной форме.

Форма письменного согласия законодательством не оговаривается, поэтому компания может использовать собственную, однако в ч. 4 ст. 9 (Закона N 152-ФЗ) предусмотрены сведения, которые должны быть отражены в нем.

Примечание. Форму согласия и требования к его содержанию смотрите на с. 18 — 19 журнала N 2, 2015.

Судебная практика. Если клиенты заказывают товары или услуги, заполняя анкету на сайте в электронном виде, содержащую сведения о персональных данных, то отдельного согласия на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, т.е. при обработке персональных данных письменное согласие считается полученным (Постановление Федерального арбитражного суда Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009).

В отличие от трудовых отношений, когда работник чаще всего лично предоставляет свои ПД, с данными клиентов может возникнуть ситуация, когда сведения будут получены не напрямую, а от других операторов (например, если компания обращается к юридической фирме для ведения судебного дела в отношении клиента — физического лица).

Для таких случаев ст. 18 Закона N 152-ФЗ предусматривает следующее правило. Если персональные данные получены не от субъекта ПД, то до начала их обработки оператор обязан предоставить субъекту ПД следующую информацию:

  • наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законом права субъекта персональных данных;
  • источник получения персональных данных.
Читайте так же:  Надо ли платить за домофон каждый месяц

Форма и порядок такого уведомления законодательством не предусмотрены, однако информировать субъекта персональных данных необходимо так, чтобы впоследствии была возможность представить в суд доказательства подобного информирования. Потому лучше, если оператор вручит эту информацию субъекту ПД под личную подпись или отправит письмо почтой с уведомлением и описью вложения, а также сохранит почтовые документы.

Судебная практика. Истица обратилась в суд с иском к ряду компаний о признании незаконными действий по передаче и обработке ее персональных данных и взыскании компенсации морального вреда. В обоснование заявленных требований она указала, что между ней и банком был заключен потребительский кредитный договор. В ходе его исполнения банк без согласия передал ее персональные данные ответчикам, от которых в дальнейшем в адрес истицы поступали требования о погашении просроченной задолженности. Суд иск удовлетворил исходя из того, что в нарушение требований закона ей до начала обработки персональных данных не была предоставлена информация об операторе, целях обработки, правовом основании, предполагаемых пользователях (Апелляционное определение Тульского областного суда от 13.02.2014 по делу N 33-372).

Отзыв согласия

Согласно ч. 2 ст. 9 Закона N 152-ФЗ субъект ПД (клиент компании) вправе отозвать согласие на обработку ПД. Специальная форма такого отзыва законодательством не предусмотрена.

Отзыв может быть составлен по образцу, приведенному в примере 1.

Пример 1. Отзыв согласия на обработку персональных данных.

Кстати, ч. 2 ст. 9 Закона N 152-ФЗ предусматривает случаи, когда оператор может продолжить обработку ПД и без согласия клиента. Например, обработка ПД необходима для:

  • достижения целей, предусмотренных законодательством;
  • исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является клиент;
  • защиты жизни, здоровья, если получение согласия субъекта персональных данных невозможно;
  • осуществления деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности и пр.

Судебная практика подтверждает, что согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора.

Судебная практика. Суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив ПД должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (Кассационное определение Омского областного суда от 10.11.2010 N 33-7056 (2010 г.)).

Организовываем работу

Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 — 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Примечание. См. статью «Устанавливаем режим коммерческой тайны» на с. 11 журнала N 11, 2014.

Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта. Но, учитывая, что согласно ч. 2 ст. 18.1 Закона N 152-ФЗ оператор при работе с клиентами обязан опубликовать или иным образом обеспечить неограниченный доступ к положению о защите персональных данных, целесообразнее разделить положение на два отдельных документа (для работников и клиентов). Ведь далеко не любая компания захочет обнародовать порядок работы с ПД работников.

Мнение. Станислав Валуев, юрист правового бюро «Олевинский, Буюкян и партнеры»

К сожалению, от риска незаконного использования персональных данных не застрахован никто. Защищать их можно любыми способами, при этом выполняя требования Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Эффективность защиты персональных данных клиентов во многом зависит от правильной организации работы сотрудников, которые взаимодействуют с базой персональной информации. Строгий контроль за доступом и использованием персональных данных клиентов максимально оградит эти сведения от использования нечистоплотными сотрудниками в личных целях. Самое важное, на мой взгляд, — выстроить работу сотрудников таким образом, чтобы ответственность за нарушение норм Закона наступала неотвратимо. Руководителям организаций, работающих с персональными данными клиентов, посоветовал бы обязательно разрабатывать положение о защите персональных данных клиентов, где указывать, что каждый сотрудник, получающий для работы персональные данные клиента, несет ответственность за конфиденциальность информации.

До передачи персональных данных иным лицам компания должна запросить у клиента согласие на их передачу. Законодательством не предусмотрена форма такого запроса; он может быть таким, как указано в примере 2.

Пример 2. Запрос согласия субъекта персональных данных на распространение персональных данных.

Кстати, далеко не каждое действие будет считаться передачей данных или даже разглашением ПД. Примеры можно найти в судебной практике.

Судебная практика. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.

Уведомление Роскомнадзора

В отличие от оператора, работающего с персональными данными сотрудников, оператор, работающий с персональными данными клиентов, до начала обработки персональных данных обязан уведомить Роскомнадзор (ст. 22 Закона N 152-ФЗ).

Видео (кликните для воспроизведения).

Порядок представления уведомлений регулируется Административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным Приказом Минкомсвязи России от 21.12.2011 N 346 (далее — Регламент).

Есть несколько исключений, когда компании, работающие с персональными данными клиентов, не должны направлять уведомления в Роскомнадзор (ч. 2 ст. 22 Закона N 152-ФЗ). Например:

  • если ПД получены в связи с заключением договора при условии, что данные не распространяются и не предоставляются третьим лицам без согласия и используются исключительно для исполнения указанного договора;
  • сделаны субъектом персональных данных общедоступными (справочники, адресные книги и т.д.);
  • включают в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или аналогичных целей;
  • обрабатываются без использования средств автоматизации (т.е. при работе с данными не используются вычислительная техника, компьютеры) и пр.
Читайте так же:  Порядок учета дебиторской задолженности

Если перечисленные случаи не относятся к деятельности компании, то она направляет уведомление в территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона N 152-ФЗ). Форма установлена Регламентом (Приложение N 2). Его можно подать не только в бумажном варианте, но и в электронном виде через сайт Роскомнадзора (ч. 3 ст. 22 Закона N 152-ФЗ).

См. Портал персональных данных Уполномоченного органа по защите персональных данных // http://pd.rkn.gov.ru/operators-registry/notification/form.

В течение 30 дней с даты поступления уведомления управление Роскомнадзора вносит сведения, содержащиеся в уведомлении, в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). На основании приказа руководителя уполномоченного органа в реестр вносится запись об операторе. Информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора.

Ответственность оператора при работе с персональными данными клиентов практически аналогична ответственности работодателя, описанной в прошлом номере журнала. Единственное — нужно учитывать ст. 13.14 КоАП РФ, согласно которой за разглашение информации, доступ к которой ограничен федеральным законом, в том числе ПД граждан, лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на должностных лиц компании от 4000 до 5000 руб.

Защита персональных данных клиентов организации

Защита персональных данных
с помощью DLP-системы

Б ольшинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные. Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах. Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации. Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов. Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные. Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания. Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной. Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно. Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества. Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические. Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные. Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств. Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены. При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Читайте так же:  Дисциплинарное взыскание в виде выговора или замечания последствия

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле. После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой. Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Положение «О порядке обработки персональных данных клиентов

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет политику Оператора в отношении обработки персональных данных и реализации требований к защите персональных данных (далее по тексту — Положение) в соответствии с требованиями ст.18.1 Федерального закона Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных».

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. В настоящем Положении используются следующие основные понятия:

2.1.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.2. оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.1.3. обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.4. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.1.5. неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, в ходе которой использование, уточнение, распространение, уничтожение персональных данных каждого из субъектов персональных данных, осуществляется при непосредственном участии человека;

2.1.6. обработка персональных данных на бумажном носителе — обработка персональных данных, в том числе неавтоматизированная, осуществляемая Оператором с помощью фиксации персональных данных каждого из субъектов персональных данных на бумажном(ых) носителе(ях);

2.1.7. использование персональных данных — применение персональных данных для достижения целей их обработки;

2.1.8. распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.9. предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1.10. блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.11. уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.1.12. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.13. информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.1.14. трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор в ходе обработки персональных данных руководствуется следующими принципами:

3.1.1. обработка персональных данных осуществляется на законной и справедливой основе в соответствии с:

— Гражданским кодексом РФ;

— Федеральным законом РФ от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральным законом РФ от 27.07.2006 г. №152-ФЗ «О персональных данных»;

— Федеральным законом РФ от 08.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью»;

— Трудовым кодексом РФ;

— Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Постановлением Правительства РФ от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Приказом ФСТЭК РФ №55, ФСБ РФ №86, Мининформсвязи РФ №20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

— Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

3.1.2. обработка персональных данных допускается в случаях, определенных федеральным законом;

3.1.3. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Целями обработки персональных данных Оператором являются:

Читайте так же:  Чем отличается депортация от выдворения

1) в отношении клиентов Оператора – регистрации клиентов на Интернет-сайте fotosklad.ru (далее по тексту – Сайт), заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара, клиентом на сайте.

2) в отношении клиентов третьих лиц, осуществляющих деятельность на Интернет-сайте fotosklad.ru — регистрации указанных лиц на Сайте, заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара, указанными лицами на сайте.

3.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;

3.1.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

3.1.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

3.1.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

3.1.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. СУБЪЕКТЫ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор осуществляет обработку персональных данных в соответствии с настоящим Положением в отношении следующих категорий субъектов (физических лиц):

4.1.1. Клиенты (покупатели) Оператора.

4.2. Оператор осуществляет обработку следующих категорий персональных данных:

4.2.1. в отношении клиентов (покупателей):

— фамилия, имя, отчество клиента;

— мобильный телефон клиента;

-электронная почта клиента;

— наименование улицы, на которую будет осуществляться доставка для клиента

— номер дома, в который будет осуществляться доставка для клиента

— номер квартиры (офиса), в которую (-ый) будет осуществляться доставка для клиента;

— фамилия, имя, отчество лица, получающего товар;

— почтовый индекс места, куда осуществляется доставка товара для клиента;

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных может осуществляться Оператором в информационной системе с использованием средств автоматизации и без использования таких средств, а также на бумажных носителях.

5.2. Решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не принимаются Оператором на основании исключительно автоматизированной обработки его персональных данных.

5.3. В случае намерения принять подобное решение на основании исключительно автоматизированной обработки персональных данных, необходимо получение Оператором согласия субъекта в письменной форме с обязательным разъяснением порядка принятия решения, его возможных юридических последствий, возможности заявить возражения против такого решения, а также порядка защиты субъектом персональных данных своих прав и законных интересов.

5.4. Обработка персональных данных допускается в следующих случаях:

5.4.1. осуществляется с согласия субъекта персональных данных;

5.4.2. обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

5.4.3. обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5.4.4. обработка необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

5.4.5. обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);

5.4.6. обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом

5.5. В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных только при наличии оснований, предусмотренных п.п.5.4.2-5.4.6 Положения.

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных вправе:

6.1.1. получать от Оператора информацию, касающуюся обработки его персональных данных;

6.1.2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

6.1.3. требовать от Оператора прекращения обработки персональных данных в целях продвижения товаров, работ, услуг путем осуществления прямых контактов с помощью средств связи;

6.1.4. обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Информация, относящаяся к персональным данным, доступ к которой получен Оператором или иными лицами в установленном законом порядке, не подлежат разглашению третьим лицам, за исключением случаев, предусмотренных федеральным законом.

7.2. Сотрудники Оператора и иные лица, получившие доступ к персональным данным и осуществляющие их обработку, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности, в случае нарушения норм и требований действующего законодательства РФ в области обработки персональных данных.

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Оператор принимает, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ РФ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

8.2. В частности Оператором принимаются следующие меры по обеспечению по обеспечению безопасности персональных данных:

— назначено ответственное за обработку персональных данных должностное лицо;

— утверждено и размещено данное Положение на Интернет-сайте Оператора fotosklad.ru

— утверждаются другие локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в сфере обработки персональных данных, устранение последствий таких нарушений;

— применяются достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— осуществляется внутренний контроль на предмет соответствия обработки персональных данных Федеральному закону РФ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Положению и иным локальным актам Оператора в сфере обработки персональных данных;

Видео (кликните для воспроизведения).

— осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Работа с персональными данными клиентов
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here