Приложения 

Персональные данные из открытых источников. Какие персональные данные являются общедоступными. Что такое оператор и субъект персональных данных

«Персона» — данные, которые касаются человека, личности, биологического организма.

Что такое, как собирать, где хранить, как защитить?

Дактилоскопическая карта – это персональные данные или нет?

В ней нет данных о личности.

персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Адрес – это регистрация по месту жительства или месту пребывания.

Условная классификация персональных данных.

1) по степени открытости:

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Общедоступные персональные данные – это данные, на которые дается добровольное согласие и размещаются в открытом доступе.

Часто некоторые владельцы сайтов запрашивают информацию для регистрации, которую не хочется предоставлять.

Конфиденциальная информация – информация предоставляется строго в определенных целях. Иногда может быть собрана без ведома лица.

В МВД хранится информация в информационных центрах

2) по принадлежности

— личные – принадлежат от рождения

— служебные – в ходе работы, службы – классный чин, и т.п.

3) по способу предоставления

— добровольно предоставленная информация

— предоставленная в общем порядке в соответствии с законодательством (принудительно)

— собранные без согласия гражданина в соответствии с законодательством

4) по характеру данные

— биометрические (дактилоскопическая информация)

Основные понятия, используемые при работе с персональными данными.

— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

— распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

Размещенную в Интернете информацию часто нельзя заблокировать.

Большинство персональных данных:

— хранятся на компьютере

— размещаются в Интернете

Проконтролировать размещение тяжело

— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; — ситуации, когда горели архивы

обезличивание персональных данных

— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обработка персональных данных.

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Если когда-то кто-то заполнил дактилоскопическую карту, то она есть в информационном центре в их базах данных. Мы не можем, например, объединить базы данных об обычных гражданах и лицах, совершивших преступление.

1) с согласия владельца персональных данных

2) без согласия владельца персональных данных.

Это относится к лицам, занимающим определенное положение и должность: военнослужащие, трупы

Конфиденциальность персональных данных:

Когда не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

— оператором, который осуществляет сбор и обработку персональных данных.

— ограничить доступ внутри собственной организации

Оператор несет персональную ответственность за распространение персональных данных

— установление ограничения доступа как в помещении, так и в сети (пропускная система, система карточной идентификации)

Для локальных сетей – система login+ пароль

Можно ограничить доступ по биометрической информации: отпечаток пальца, сетчатка глаза.

— о расовой принадлежности

— о политических взглядах

— о религиозных или философских убеждениях

— о состоянии здоровья

— об интимной жизни

Их обработка возможна только с согласия субъектов.

1) наличие письменного согласия субъекта на их обработку

2) если субъект персональных данных сделал их общедоступными

3) если данная информация относится к информации, необходимой для защиты жизни, здоровья и иных жизненно важных интересов лица

Такая информация может предоставляться в медико-профилактических целях – например, вирусная инфекция.

Особенность обработки персональных данных в государственных или муниципальных информационных системах обработки персональных данных.

— касается только государственных служащих и муниципальных служащих.

Государственный орган обладает собственным статусом, есть самостоятельные системы обработки информации о государственных или муниципальных служащих.

1) установлено, какая информация нужна в пределах своей компетенции

2) есть ещё ФЗ «О государственной гражданской службе», то есть регулируется не только законодательством о персональных данных.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, кроме следующих случаев:

1) совершение преступления

Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

— сбор информации с подозреваемого является незаконным

Обработка трансграничной информации.

Можно требовать в целях защиты граждан той страны, куда передается, собирается только с письменного согласия субъекта.

Права субъекта персональных данных.

1) Право субъекта персональных данных на доступ к своим персональным данным

Нельзя звонить в информационный центр МВД (главный информационный центр и зональный информационный центр)

2) Права субъектов персональных данных на обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Достоверность информации будет проверяться другими лицами.

3) принятие решений на основании исключительно автоматизированной обработки персональных данных. Человек может не доверять автоматизированной обработке. Можно требовать, чтобы следы пальцев хранились не только в компьютере, но и на бумаге.

— ТрудК РФ – есть глава, посвященная персональным данным.

ФЕДЕРАЛЬНЫЙ ЗАКОН О ГОСУДАРСТВЕННОЙ ДАКТИЛОСКОПИЧЕСКОЙ РЕГИСТРАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ от 25 июля 1998 года N 128-ФЗ

Общедоступные персональные данные это

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:

Его фамилия, имя, отчество,

Год, месяц, дата и место рождения,

Адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,

другая информация (см. ФЗ-152 , ст.3).

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных — это, как правило, организация, а точнее - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Субъект персональных данных — это физическое лицо.

Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

II. Определить объем персональных данных, обрабатываемых в информационной системе:

объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;

объем 2 от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):

Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;

Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Судный день отсрочен до 1 января 2011 года

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).

Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность .

Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.

Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:

Для ИСПДн класса 4:

Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

Для ИСПДн класса 3:

Декларирование соответствия или

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)

Для ИСПДн класса 2:

Обязательная аттестация по требованиям безопасности информации

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем

Для ИСПДн класса 1:

Обязательная аттестация по требованиям безопасности информации

Должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:

1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

2) Предпроектное обследование информационной системы - сбор исходных данных;

3) Классификация системы обработки персональных данных;

4) Построение частной модели угроз с целью определения их актуальности для информационной системы;

5) Разработка частного технического задания на систему защиты персональных данных;

6) Проектирование системы защиты персональных данных;

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:

— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),

Административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)

и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

ФСТЭК - Федеральная служба по техническому и экспортному контролю.

ПЭМИН - Побочные Электромагнитные Излучения и Наводки

Защита персональных данных

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступит в силу с 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

Обработка ИСПДн также может осуществляться по параметру «объем обрабатываемых персональных данных», который предполагает количество субъектов, обрабатываемых в информационной системе, и может принимать следующие значения:

  • одновременная обработка более чем 100 тысяч субъектов ПДн (выполняется как в пределах субъекта РФ, так и в РФ в целом);
  • одновременная обработка ПДн от 1 до 100 тысяч субъектов (выполняется в органе гос.власти, работающих в области экономики РФ);
  • одновременная обработка ПДн менее чем 1 тысячи субъектов (выполняется в пределах конкретной организации).

Разделение на категории позволяет не только определить класс ИСПДн, но и установить комплекс мер по обеспечению безопасности и защиты персональных данных в интернете, при обработке в инфосистемах.

Персональные данные работника

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п.2 ст.86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст.65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст.150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 300 до 500 рублей — для физических лиц; от 500 до 1000 рублей — должностных лиц, от 5 до 10 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц - мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис - ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД - физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты - все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные - это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой

  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными . Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД - обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой .

Биометрические ПД

Биометрические данные - это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;

Общедоступная информация, которая считается персональными данными, - это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data . Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Все интересующие вопросы можно задать в комментариях к статье

В самом конце 2015 года автор этой статьи поучаствовал в обсуждении интересной темы, которая была посвящена необходимости создания единой общедоступной базы данных недобросовестных соискателей работы. Наша компания решила разобраться в этом вопросе.

Аргументация необходимости создания подобных баз проста – есть много не адекватных соискателей, которые не приходят на собеседования, врут в резюме и т.п., так почему бы не озаботиться созданием базы таких вот товарищей к всеобщей пользе всех HR.

Надо сказать, что идея не нова и, наверняка, ряд компаний имеют внутренние базы соискателей. С помощью таких баз кадровики отсеивают неподходящих кандидатов с самыми минимальными затратами времени. Если теоретически предположить, что в распоряжении всех HR страны может появиться такая база, то насколько было бы всем лучше. Ну, так ведь?

Нет, не так. Потенциальные выгоды могут легко перекрыться негативом, который неизбежно возникнет от неправомерного использования данных из базы, необоснованного включения/исключения людей в такие базы, ну и вопросов репутации, чести и достоинства включенных в базы людей.

С 2006 года в России действует федеральный закон «О персональных данных», который однозначно определяет условия, при которых такие базы могут существовать. Итак:

2. Статья 6 федерального закона «О персональных данных» определяет, что «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».

3. Статья 7 федерального закона «О персональных данных» определяет, что «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.»

4. Статья 8 федерального закона «О персональных данных» определяет, что: «1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

5. И наконец, статья 13.11. Кодекса Российской Федерации об административных нарушениях, определяет, что «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.»

Другими словами и короче:

1. Любые данные, относящиеся к физическому лицу (включая просто номер телефона), являются персональными.

2. На обработку персональных данных нужно получить согласие, которое можно в любой момент отозвать.

3. Если у кого-то есть законный доступ к персональным данным, то их запрещено раскрывать кому-либо или делиться с кем-либо без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

5. За нарушение установленного порядка сбора и хранения персональных данных предусмотрена ответственность .

Вывод

Вывод очень простой и понятный – создание единой общедоступной базы нерадивых соискателей работы возможно только с письменного согласия этих самых нерадивых работников, что, естественно, сводит к нулю вероятность законного создания такой базы. Тем, кто все же решит такие базы создавать и делиться ими с товарищами, наша компания рекомендует ознакомиться с действующими в данный момент наказаниями.

Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" Петров Михаил Игоревич

Статья 8. Общедоступные источники персональных данных

Общедоступные источники персональных данных

Комментарий к статье 8

1. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных. Общедоступные источники персональных данных могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Создание общедоступных источников персональных данных обусловлено необходимостью информационного обеспечения. Анализ действующего законодательства позволяет отметить, что к числу общедоступных источников персональных данных в настоящее время относятся: справочники, адресные книги, энциклопедии, документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющих общественный интерес или необходимых для реализации прав, свобод и обязанностей граждан. Вместе с тем современная наука и практика пока не сумели выработать эффективных критериев, с помощью которых можно было бы четко различать общедоступные и конфиденциальные сегменты информации.

Создание общедоступных источников персональных данных, в состав которых подлежат включению фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных, осуществляется с обязательного согласия последнего. Кроме того, субъект персональных данных вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Использование персональных данных из общедоступных источников предполагает, в свою очередь, исключение возможности извлечения прибыли.

В случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

2. В целях защиты прав и законных интересов субъекта персональных данных законодатель предусматривает возможность отзыва персональных данных, используемых в общедоступных источниках. Их исключение может быть осуществлено как по требованию самого субъекта персональных данных, так и по решению суда или специально уполномоченного государственного органа.

Статья 74-1. Обработка персональных данных с нарушением законодательства о защите персональных данных (1) Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных влечет наложение штрафа

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

Статья 88. Передача персональных данных работника При передаче персональных данных работника работодатель должен соблюдать следующие требования:не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев,

Статья 5. Принципы обработки персональных данных Комментарий к статье 51. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние

Статья 6. Условия обработки персональных данных Комментарий к статье 61. Соблюдение принципов обработки персональных данных, представленных предшествующей статьей, не является единственным условием, гарантирующим защищенность прав и законных интересов граждан, чьи

Статья 7. Конфиденциальность персональных данных Комментарий к статье 71. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием,

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Комментарий к статье 91. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что

Статья 10. Специальные категории персональных данных Комментарий к статье 101. Комментируемая статья выделяет особые категории персональных данных и устанавливает общий запрет на их обработку. К специальной категории персональных данных относятся сведения, раскрывающие

Статья 12. Трансграничная передача персональных данных Комментарий к статье 121. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Комментарий к статье 151. Комментируемая статья своим содержанием апеллирует к положениям ст.150 ГК

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 161. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Комментарий к статье 201. Нормы комментируемой статьи во

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных Комментарий к статье 211. Положения комментируемой статьи определяют процедуру

Статья 22. Уведомление об обработке персональных данных Комментарий к статье 221. Процедура уведомления об обработке персональных данных по смыслу комментируемого Закона выступает одной из гарантий соблюдения прав и законных интересов субъектов персональных данных в

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите. Однако есть категория общедоступных персональных данных, которые несут лишь поверхностную и обезличенную информацию и человеке.

Из этой статьи вы узнаете:

  • что такое общедоступные персональные данные;
  • перечень общедоступных персональных данных;
  • особенности работы с общедоступными персональными данными.

При создании любой базы данных, в том числе перечня всех работников предприятия, на начальном этапе необходимо распределить на категории персональные данные. Все персональные данные сотрудников разбиваются на две группы – общедоступные и конфиденциальные.

Понятие и классификация персональных данных

Персональные данные (ПДн) – это различные виды информации, от полного имени, даты рождения, семейного и социального положения, до регистрационных номеров документов, выданных государственными органами и коммерческими инстанциями. Оператором персональным данных выступает государственная, федеральная, коммерческая структура, юридическое или физическое лицо, имеющие права на выполнение различных мероприятий с использованием персональных данных.

В трудовых отношениях обладателем/субъектом персональных данных является работник, а оператором работодатель, кадровый и бухгалтерский отдел, занимающиеся оформлением сотрудника на работу и всеми вопросами, связанными с личными делами и правовыми соотношениями, начислением заработной платы, пособий, компенсаций и т.п. ПДн субъекта необходимы работодателю для связи их с трудовыми отношениями/соглашениями (ст. 85, 86 ТК РФ).

Под обработкой персональных данных подразумеваются различные операции, предусмотренные законодательством Российской Федерации. К видам обработки ПДн относится сбор, систематизация, накопление, хранение, обновление, использование, обезличивание, уничтожение, которые производятся по установленным нормативными актами процедурам. Осуществлять операции с ПДн могут государственные, федеральные, муниципальные органы и организации, имеющие такое право по статусу.

Все ПДн разделяются на такие разделы:

  • Специальные персональные данные;
  • Биометрические персональные данные.

При формировании информационных систем персональных данных (ИСПД) рекомендуется руководствоваться Приказом ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ № 55/86/20 от 13. 02. 2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Согласно этому нормативному акту ПДн распределяются на категории:

  1. Категория 1 – специальные данные, определяющие расовую и национальную принадлежность, религиозные и политические убеждения, факты личной жизни и состояния здоровья.
  2. Категория 2 – данные, которые дают возможность идентифицировать субъекта и получить о нем дополнительную информацию за исключением факторов, относящихся к категории 1. К этому разделу относятся ФИО, домашний адрес, данные паспорта, серийные номера документов (мед. полис, пенсионное удостоверение, СНИЛС, ИНН), информация трудовой и медицинской книжки.
  3. Категория 3 – данные, позволяющие идентифицировать субъекта (имя, фамилия, дата рождения).
  4. Категория 4 – обезличенные или общедоступные персональные данные, по которым невозможно идентифицировать субъекта.

Общедоступные персональные данные: перечень

К перечню общедоступных персональных данных можно отнести такие факторы, которые не несут информацию, позволяющую идентифицировать личность человека по базе данных. К обезличенным данным относятся:

  • Имя, имя и отчество;
  • Ник/логин субъекта в интернете;
  • Электронный адрес (без привязки к ФИО);
  • Должность, место работы (без сведений о личных данных).

К общедоступным данным относятся сведения о субъекте, которую можно получить в открытых источниках информации, например, в телефонном справочнике или адресной книге. В такие общедоступные базы данные вносятся с письменного согласия субъекта.

Общедоступные персональные данные: особенности

Особенность общедоступных персональных данных заключается в том, что они могут быть размещены в открытых источниках информации. То есть, если в справочнике контактов организации указаны контактные данные должностных лиц, например, занимающихся обучением и наймом персонала, то такие данные считаются общедоступными. Когда в печатном издании указаны имена и фамилии членов редакции, то эта информация тоже относится к общедоступной.

К особенности общедоступных данных, которая позволяет правильно их классифицировать, можно отнести такой фактор – первые три категории в той или иной степени необходимы для внесения субъекта в ИСПД, а четвертая категория остается вне требований информационных систем. Если о человеке из всех данных известны лишь имя и место работы, то такие сведения являются общедоступными.

При систематизации данных потребуется более точная информация, которую можно получить лишь с письменного согласия субъекта на обработку персональных данных. При этом оператор берет на себя обязанность о защите и соблюдении законодательно установленных правил обработки и хранения персональных данных.