Главная » Права » Уполномоченный орган по защите персональных данных. Уполномоченный орган по защите прав субъектов персональных данных. Что означает термин «персональные данные»

Уполномоченный орган по защите персональных данных. Уполномоченный орган по защите прав субъектов персональных данных. Что означает термин «персональные данные»

Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" Петров Михаил Игоревич

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Статья 23.

Уполномоченный орган по защите прав субъектов персональных данных

Комментарий к статье 23

1. Комментируемая статья определяет основные направления государственного контроля и надзора за деятельностью операторов, осуществляющих обработку персональных данных, а равно полномочия, функции и компетенцию органов, его осуществляющих. Государственный контроль (надзор) определяется действующим законодательством не иначе как проведение проверки выполнения юридическим или физическим лицом при осуществлении их деятельности обязательных требований к товарам (работам, услугам), установленных федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами (п.1 ст.2 Федерального закона от 8 августа 2001г. N 134-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)").

Диспозиция настоящей статьи носит четко выраженный традиционный характер, где указывается, кто правомочен на реализацию контрольно-надзорных функций в обозначенной области деятельности, обозначаются основные полномочия последних и завершается декларируемым правом обжалования вынесенных в процессе их реализаций соответствующих решений по существу вопроса.

Целью реализации сформулированных настоящей статьей контрольных полномочий по надзору за деятельностью оператора выступает приоритет защиты прав субъектов персональных данных и необходимость соблюдения в указанных целях требований настоящего Закона.

Специфика настоящей статьи заключается в том, что положения последней отражают лишь одну из сторон государственного контроля за деятельностью оператора, осуществляемого исключительно в рамках рассматриваемого Федерального закона на предмет соблюдения его требований и четкого исполнения последними своих обязанностей, круг которых сформулирован нормами главы 4. В этой связи законодатель отмечает, что осуществление государственного контроля и надзора за деятельностью оператора возложено на специально уполномоченный орган государственной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В соответствии с Указом Президента РФ от 9 марта 2004г. N 314 образована Федеральная служба по надзору в сфере связи, с передачей ей функций по контролю в сфере связи упраздняемого Министерства РФ по связи и информатизации, а также функций по государственному надзору в этой сфере. Как следует из Постановления Правительства РФ от 30 июня 2004г. N 318 "Об утверждении Положения о Федеральной службе по надзору в сфере связи", Федеральная служба по надзору в сфере связи является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи.

2. Федеральная служба по надзору в сфере связи находится в ведении Министерства информационных технологий и связи РФ. Федеральная служба по надзору в сфере связи руководствуется в своей деятельности Конституцией РФ, федеральными конституционными законами, федеральными законами, актами Президента РФ и Правительства РФ, международными договорами РФ, нормативными правовыми актами Министерства информационных технологий и связи РФ. Федеральная служба по надзору в сфере связи осуществляет свою деятельность непосредственно и через свои территориальные органы во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления, общественными объединениями и иными организациями. Федеральную службу по надзору в сфере связи возглавляет руководитель, назначаемый на должность и освобождаемый от должности Правительством РФ по представлению министра информационных технологий и связи РФ.

Руководитель Федеральной службы по надзору в сфере связи несет персональную ответственность за осуществление возложенных на Федеральную службу по надзору в сфере связи полномочий. Руководитель Службы имеет заместителей, назначаемых на должность и освобождаемых от должности министром информационных технологий и связи РФ по представлению руководителя Службы. Количество заместителей руководителя Службы устанавливается Правительством РФ.

Финансирование расходов на содержание Федеральной службы по надзору в сфере связи и ее территориальных органов осуществляется за счет средств, предусмотренных в федеральном бюджете. Федеральная служба по надзору в сфере связи является юридическим лицом, имеет печать с изображением Государственного герба РФ и со своим наименованием, иные печати, штампы и бланки установленного образца, счета, открываемые в соответствии с законодательством РФ. Место нахождения Федеральной службы по надзору в сфере связи -г. Москва.

3. Условно представленные комментируемой статьей функции Федеральной службы по надзору в сфере связи в части, касающейся контроля за соответствием обработки персональных данных требованиям настоящего Закона, можно разделить по следующим направлениям:

1) организационно-распорядительные: ведение реестра операторов;

внесение в Правительство РФ предложений о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

организация в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиты прав субъектов персональных данных;

2) собственно контрольные:

осуществление проверки сведений, содержащихся в уведомлении об обработке персональных данных, или привлечение для осуществления такой проверки иных государственных органов в пределах их полномочий;

принятие в установленном законодательством РФ порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление интересов субъектов персональных данных в суде;

привлечение к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;

3) надзорные:

запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать в установленном законодательством РФ порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

4) координационные:

направление заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных.

Настоящим Законом федеральному органу исполнительной власти, уполномоченному на осуществление функций по контролю и надзору за деятельностью операторов, предоставлены исключительные полномочия, реализация которых не обременена дополнительными условиями. Единственное исключение, действующее на этот счет, связано с осуществлением контрольно-ревизионных мероприятий, проведение которых, во-первых, осуществляется в строгом соответствии с разработанным ранее планом, во-вторых, предметом контроля является соответствие обработки персональных данных требованиям настоящего Закона, а в-третьих, в ходе осуществления им своей деятельности должна обеспечиваться конфиденциальность персональных данных. Тем самым определена строгая целевая направленность деятельности в процессе реализации подобного рода мероприятий.

4. Мероприятие по контролю - совокупность действий должностных лиц органов государственного контроля (надзора), связанных с проведением проверки выполнения юридическим или физическим лицом обязательных требований, осуществлением необходимых исследований (испытаний), экспертиз, оформлением результатов проверки и принятием мер по результатам проведения мероприятия по контролю. Мероприятия по контролю проводятся на основании заранее утвержденного плана и вынесенного на его основе документа (постановление, предписание и т.п.), управомочивающего на совершение определенных действий. Периодичность проведения проверок Законом не определена. Предположительно плановые проверки могут проводиться в отношении каждого бюро кредитных историй не чаще одного раза в год. Предусматривается проведение плановых проверок раз в один, два или три года.

Наряду с плановыми допустимо осуществление и внеплановых контрольных мероприятий. Внеплановые проверки проводятся:

для проверки исполнения предписаний об устранении ранее выявленных нарушений законодательства;

в случае обнаружения достаточных данных, указывающих на наличие правонарушений, или получения иных доказательств, свидетельствующих о наличии признаков нарушений законодательства.

Внеплановые мероприятия по контролю проводятся органами государственного контроля (надзора) также в случаях обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) иных юридических лиц и (или) индивидуальных предпринимателей, связанные с невыполнением ими обязательных требований, а также получения иной информации, подтверждаемой документами и иными доказательствами, свидетельствующими о наличии признаков таких нарушений. Внеплановые мероприятия по контролю могут проводиться по мотивированному решению органа государственного контроля (надзора), в том числе в отношении иных юридических лиц, оказывающих соответствующие однородные услуги.

Обращения, не позволяющие установить лицо, обратившееся в орган государственного контроля (надзора), не могут служить основанием для проведения внепланового мероприятия по контролю. Мероприятия по контролю проводятся на основании распоряжений (приказов) органов государственного контроля (надзора). В распоряжении (приказе) о проведении мероприятия по контролю указываются:

номер и дата распоряжения (приказа) о проведении мероприятия по контролю;

фамилия, имя, отчество и должность лица (лиц), уполномоченного на проведение мероприятия по контролю;

наименование юридического лица, в отношении которого проводится мероприятие по контролю;

цели, задачи и предмет проводимого мероприятия по контролю;

правовые основания проведения мероприятия по контролю, в том числе нормативные правовые акты, обязательные требования которых подлежат проверке; дата начала и окончания мероприятия по контролю.

Распоряжение (приказ) о проведении мероприятия по контролю либо его заверенная печатью копия предъявляется должностным лицом, осуществляющим мероприятие по контролю, руководителю или иному должностному лицу юридического лица одновременно со служебным удостоверением.

Мероприятие по контролю может проводиться только тем должностным лицом (лицами), которое указано в распоряжении (приказе) о проведении мероприятия по контролю.

Продолжительность мероприятия по контролю не должна превышать один месяц. В исключительных случаях, связанных с необходимостью проведения специальных исследований (испытаний), экспертиз со значительным объемом мероприятий по контролю, на основании мотивированного предложения должностного лица, осуществляющего мероприятие по контролю, руководителем органа государственного контроля (надзора) или его заместителем срок проведения мероприятия по контролю может быть продлен, но не более чем на один месяц. В целях проверки выполнения юридическими или физическими лицами обязательных требований органом государственного контроля (надзора) в пределах своей компетенции проводятся плановые мероприятия по контролю.

В отношении одного юридического или физического лица каждым органом государственного контроля (надзора) плановое мероприятие по контролю может быть проведено не более чем один раз в два года. В отношении субъекта малого предпринимательства плановое мероприятие по контролю может быть проведено не ранее чем через три года с момента его государственной регистрации.

Внеплановой проверке, предметом которой является контроль исполнения предписаний об устранении выявленных нарушений, подлежит деятельность юридического или физического лица при выявлении в результате планового мероприятия по контролю нарушений обязательных требований. При проведении мероприятий по контролю должностные лица органов государственного контроля (надзора) не вправе:

проверять выполнение обязательных требований, не относящихся к компетенции органа государственного контроля (надзора), от имени которого действуют должностные лица;

осуществлять плановые проверки в случае отсутствия при проведении мероприятий по контролю должностных лиц или работников проверяемых юридических лиц либо их представителей;

требовать представления документов, информации, образцов (проб) продукции, если они не являются объектами мероприятий по контролю и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;

требовать образцы (пробы) продукции для проведения их исследований (испытаний), экспертизы без оформления акта об отборе образцов (проб) продукции в установленной форме и в количестве, превышающем нормы, установленные государственными стандартами или иными нормативными документами;

распространять информацию, составляющую, охраняемую законом тайну и полученную в результате проведения мероприятий по контролю, за исключением случаев, предусмотренных законодательством РФ;

превышать установленные сроки проведения мероприятий по контролю.

По результатам мероприятия по контролю должностным лицом (лицами) органа государственного контроля (надзора), осуществляющим проверку, составляется акт установленной формы в двух экземплярах.

В акте указываются:

дата, время и место составления акта;

наименование органа государственного контроля (надзора);

дата и номер распоряжения, на основании которого проведено мероприятие по контролю;

фамилия, имя, отчество и должность лица (лиц), проводившего мероприятие по контролю;

наименование проверяемого юридического лица или фамилия, имя, отчество физического лица, фамилия, имя, отчество, должность представителя юридического лица или представителя физического лица, присутствовавших при проведении мероприятия по контролю;

дата, время и место проведения мероприятия по контролю;

сведения о результатах мероприятия по контролю, в том числе о выявленных нарушениях, об их характере, о лицах, на которых возлагается ответственность за совершение этих нарушений;

сведения об ознакомлении или об отказе в ознакомлении с актом представителя юридического или физического лица, а также лиц, присутствовавших при проведении мероприятия по контролю, их подписи или отказ от подписи;

подпись должностного лица (лиц), осуществившего мероприятие по контролю.

Один экземпляр акта с копиями приложений вручается руководителю юридического лица или его заместителю и индивидуальному предпринимателю или их представителям под расписку либо направляется посредством почтовой связи с уведомлением о вручении, которое приобщается к экземпляру акта, остающемуся в деле органа государственного контроля (надзора).

В случае выявления в результате мероприятия по контролю административного правонарушения должностным лицом органа государственного контроля (надзора) составляется протокол в порядке, установленном законодательством РФ об административных правонарушениях, и даются предписания об устранении выявленных нарушений.

Результаты мероприятия по контролю, содержащие сведения, составляющие конфиденциальную информацию (банковскую, налоговую, коммерческую или иную охраняемую законом тайну), оформляются с соблюдением требований, предусмотренных законодательством РФ о защите государственной тайны.

Операторы вправе вести журнал учета мероприятий по контролю. В журнале учета мероприятий по контролю должностным лицом органа государственного контроля (надзора) производится запись о проведенном мероприятии по контролю, содержащая сведения о наименовании органа государственного контроля (надзора), дате, времени проведения мероприятия по контролю, о правовых основаниях, целях, задачах и предмете мероприятия по контролю, о выявленных нарушениях, о составленных протоколах, об административных правонарушениях и о выданных предписаниях, а также указываются фамилия, имя, отчество, должность лица (лиц), осуществившего мероприятие по контролю, и его (их) подпись. Журнал учета мероприятий по контролю должен быть прошит, пронумерован и удостоверен печатью юридического лица или физического лица. При отсутствии журнала учета мероприятий по контролю в акте, составляемом по результатам проведенного мероприятия по контролю, делается соответствующая запись.

5. При выявлении в результате проведения мероприятия по контролю нарушений оператором требований должностные лица органов государственного контроля (надзора) в пределах полномочий, предусмотренных законодательством РФ, обязаны принять меры по контролю за устранением выявленных нарушений, их предупреждением, предотвращением возможного причинения ущерба правам, законным имущественным интересам заинтересованных лиц, а также меры по привлечению лиц, допустивших нарушения, к ответственности. Орган государственного контроля (надзора) может обращаться в суд с требованием о возмещении расходов на проведение исследований (испытаний) и экспертиз, в результате которых выявлены нарушения обязательных требований.

Должностные лица органов государственного контроля (надзора) при проведении мероприятий по контролю обязаны:

своевременно и в полной мере исполнять предоставленные в соответствии с законодательством РФ полномочия по предупреждению, выявлению и пресечению нарушений обязательных требований;

соблюдать законодательство РФ, права и законные интересы операторов;

проводить мероприятия по контролю на основании и в строгом соответствии с распоряжениями органов государственного контроля (надзора) о проведении мероприятий по контролю в порядке, установленном ст.8 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)";

посещать объекты (территории и помещения) оператора в целях проведения мероприятия по контролю только во время исполнения служебных обязанностей при предъявлении служебного удостоверения и распоряжения органов государственного контроля (надзора) о проведении мероприятия по контролю;

не препятствовать представителям оператора присутствовать при проведении мероприятия по контролю, давать разъяснения по вопросам, относящимся к предмету проверки;

предоставлять операторам либо их представителям, присутствующим при проведении мероприятия по контролю, относящуюся к предмету проверки необходимую информацию;

знакомить оператора либо его представителей с результатами мероприятий по контролю;

доказывать законность своих действий при их обжаловании оператором в порядке, установленном законодательством РФ.

Органы государственного контроля (надзора) и их должностные лица в случае ненадлежащего исполнения своих функций и служебных обязанностей при проведении мероприятий по контролю, совершения противоправных действий (бездействия) несут ответственность в соответствии с законодательством РФ. За ненадлежащее исполнение своих функций и служебных обязанностей при проведении мероприятий по контролю, а также за совершение противоправных действий (бездействия) должностные лица органов государственного контроля (надзора) могут быть привлечены к дисциплинарной, административной, уголовной и иной ответственности в соответствии с законодательством РФ.

Вред, причиненный оператору вследствие действий (бездействия) должностных лиц органов государственного контроля (надзора) при проведении государственного контроля (надзора), признанных в порядке, установленном законодательством РФ, неправомерными, подлежит возмещению в соответствии с гражданским законодательством.

О мерах, принятых в отношении должностных лиц, виновных в нарушении законодательства РФ, органы государственного контроля (надзора) обязаны ежегодно информировать Президента РФ, Правительство РФ и Федеральное Собрание РФ.

6. В соответствии с Приказом Федеральной службы по надзору в сфере связи от 30 июня 2005г. N 25 "Об информационном обеспечении деятельности Федеральной службы по надзору в сфере связи" подготовка информации о деятельности Федеральной службы по надзору в сфере связи осуществляется в соответствии с требованиями Постановлений Правительства РФ от 12 февраля 2003г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" и от 30 июня 2004г. N 318 "Об утверждении Положения о Федеральной службе по надзору в сфере связи", Концепции использования информационных технологий в деятельности федеральных органов государственной власти до 2010г., одобренной распоряжением Правительства РФ от 24 сентября 2004г. N 1244-р.

Информирование о деятельности Федеральной службы по надзору в сфере связи (далее - Россвязьнадзор) проводится в целях:

обеспечения открытости и публичности нормативных правовых актов и обязательных требований к осуществлению деятельности в сфере информационных технологий и связи;

обеспечения прозрачности процедур проведения Россвязьнадзором и его территориальными органами мероприятий по контролю соблюдения установленных обязательных требований, лицензионных условий и принятия решений;

обеспечения открытости Россвязьнадзора через информирование широкой общественности о деятельности Россвязьнадзора и его территориальных органов;

повышения качества услуг связи и обеспечения соблюдения обязательных требований через информирование общественности о нарушениях, допущенных операторами связи, и принятых к ним мерах;

защиты прав и законных интересов пользователей услугами связи через информирование об их правах и обязанностях, о порядке подачи жалоб в случаях нарушения их прав и законных интересов;

доступа граждан и организаций к информации из реестров, ведение которых осуществляет Россвязьнадзор;

оказания информационной поддержки и методической помощи лицам, осуществляющим деятельность в области информационных технологий и связи, при оформлении ими необходимых разрешительных документов и лицензий;

повышения эффективности межведомственного взаимодействия в сфере государственного управления в области информационных технологий и связи.

Информация о деятельности Россвязьнадзора размещается в официальном печатном органе Министерства информационных технологий и связи РФ, других средствах массовой информации и на официальном сайте Россвязьнадзора информационного портала Министерства www.minsvyaz.ru в разделе "Федеральная служба по надзору в сфере связи". Информационные материалы, публикуемые на сайте, должны быть классифицированы (иметь четкие классификационные признаки при определении уровней детализации) и персонифицированы (обеспечены специализированной адресной и аналитической информацией).

Лицами, предоставляющими официальную информацию о деятельности Россвязьнадзора, являются:

руководитель Федеральной службы по надзору в сфере связи; заместители руководителя Федеральной службы по надзору в сфере связи; руководители структурных подразделений центрального аппарата Федеральной службы по надзору в сфере связи;

руководители территориальных органов Федеральной службы по надзору в сфере связи; уполномоченное должностное лицо Россвязьнадзора.

7. Федеральная служба по надзору в сфере связи является далеко не единственным органом, уполномоченным на осуществление государственного надзора и контроля за деятельностью операторов. Последние в той же степени подвержены проверкам со стороны иных надзирающих субъектов, что и иные организации (физические лица), зарегистрированные в установленном законом порядке, независимо от видов деятельности последних.

За деятельностью бюро кредитных историй может быть установлен:

налоговый контроль;

валютный контроль;

банковский и страховой надзор, а также другие виды специального государственного контроля за деятельностью юридических лиц и индивидуальных предпринимателей на финансовом рынке;

контроль за обеспечением защиты конфиденциальной информации;

оперативно-розыскные мероприятия, дознание, предварительное следствие, прокурорский надзор и правосудие.

В сравнении с перечисленными контрольно-надзорные функции, осуществляемые Федеральной службой по надзору в сфере связи, являются специальными. Специализация последних обусловлена предметом регулирования и сферой действия настоящего Закона в той его части, в которой он затрагивает вопросы деятельности операторов (права и обязанности последних).

Из книги Правовые основы судебной медицины и судебной психиатрии в Российской Федерации: Сборник нормативных правовых актов автора Автор неизвестен

СТАТЬЯ 5. Федеральный орган исполнительной власти, специально уполномоченный в области промышленной безопасности (в ред. Федерального закона от 22.08.2004 № 122-ФЗ)1. В целях осуществления государственной политики в области промышленной безопасности Президент Российской

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г. автора Автор неизвестен

СТАТЬЯ 5. Специально уполномоченный государственный орган Российской Федерации по обеспечению карантина растений (в ред. Федерального закона от 22.08.2004 № 122-ФЗ)Федеральный орган исполнительной власти по обеспечению карантина растений в интересах Российской Федерации

Из книги Кодекс Российской Федерации об административных правонарушениях. Текст с изменениями и дополнениями на 1 ноября 2009 г. автора Автор неизвестен

Из книги Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" автора Петров Михаил Игоревич

Статья 23.68. Федеральный орган исполнительной власти, уполномоченный на осуществление функций по принудительному исполнению исполнительных документов 1. Федеральный орган исполнительной власти, уполномоченный на осуществление функций по принудительному исполнению

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 10 сентября 2010 г. автора Коллектив авторов

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Комментарий к статье 91. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что

Из книги Шпаргалка по информационному праву автора Якубенко Нина Олеговна

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Комментарий к статье 151. Комментируемая статья своим содержанием апеллирует к положениям ст.150 ГК

Из книги Гражданский процесс в вопросах и ответах автора Власов Анатолий Александрович

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 161. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию

Из книги Кодекс о Правонарушениях Республики Молдова в силе с 31.05.2009 автора Автор неизвестен

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Комментарий к статье 201. Нормы комментируемой статьи во

Из книги автора

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных Комментарий к статье 211. Положения комментируемой статьи определяют процедуру

Из книги автора

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

Из книги автора

58. УПОЛНОМОЧЕННЫЙ ПО ПРАВАМ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ Уполномоченный по правам субъектов персональных данных реализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и

Из книги автора

Каков круг субъектов по делам о защите избирательных прав и права на участие в референдуме граждан Российской Федерации? В ст. 259 ГПК определен круг субъектов, которые вправе обжаловать в суд решения или действия (бездействия) органа государственной власти, органа

Из книги автора

Статья 74-1. Обработка персональных данных с нарушением законодательства о защите персональных данных (1) Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных влечет наложение штрафа

Из книги автора

Статья 74-2. Отказ в предоставлении информации или воспрепятствование доступу сотрудников Национального центра по защите персональных данных (1) Отказ в предоставлении сведений или документов, запрошенных Национальным центром по защите персональных данных в процессе

Из книги автора

Статья 74-3. Невыполнение решений Национального центра по защите персональных данных Невыполнение в установленный срок решения Национального центра по защите персональных данных о восстановлении прав субъекта персональных данных, в том числе о приостановлении или

Из книги автора

Статья 423-4. Национальный центр по защите персональных данных (1) Правонарушения, предусмотренные статьями 741–743, устанавливаются Национальным центром по защите персональных данных. (2) Констатировать правонарушения и составлять протоколы вправе директор,

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

  • Роскомнадзор (защита прав субъектов персональных данных)
  • ФСБ (требования в области криптографии)
  • ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

  • субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
  • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

  1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
    • цель обработки ПД
    • способы обработки ПД
    • сроки обработки ПД
    • перечень допущенных к обработке ПД лиц
    • перечень обрабатываемых ПД и источник их получения
    • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

    Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

  2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
  3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
  4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

  1. если его связывают с субъектом трудовые отношения;
  2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
  3. если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
  4. если данные являются общедоступными;
  5. если включают в себя только ФИО;
  6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
  7. если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
  8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

  1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
  2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
  3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
  4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

    Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

    Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

  5. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

  1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
  2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
  3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
  4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Правовые вопросы, связанные с защитой персональных данных, волнуют юристов, которые ведут свою деятельность в разных сферах закона. Это связано с тем, что в любой области права имеется определенный перечень информации, которая требует обеспечения ее конфиденциальности и нераспространения третьим лицам теми, кому она была вверена в ходе исполнения ими должностных обязанностей.

Итак, рассмотрим далее то, какая информация относится к данной группе, а также особенности системы защиты персональных данных. Как она работает на предприятиях и в организациях? Кроме этого, рассмотрим то, что должно входить в структуру Положения о защите персональных данных работников (образец) и каким образом оно принимается.

Общее понятие

Если говорить об общем понятии, то конфиденциальная информация - это все те сведения, которые имеют непосредственное отношение к определенному физическому лицу. Как правило, это его личные данные. Если изъясняться юридическим термином, то данное лицо в практике специалистов в области права именуется субъектом персональных данных.

Какие данные законодатель относит к категории рассматриваемых? В первую очередь, это фамилия, имя и отчество человека, а также дата и место его рождения. Кроме этого, к группе таковых принадлежат сведения относительно места его проживания по факту, а также прописки. Сведения относительно семейного положения человека, а также его социального статуса, дохода и образования также относятся к группе конфиденциальной информации.

Законодательное регулирование работы с персональными данными в России. Основные нормативные акты

Что касается российского законодательства, то оно обеспечивает надлежащую защиту персональных данных людей, которые являются не только гражданами страны, но еще и пребывают на ее территории по любым обстоятельствам. Законодательство, которое регулирует данные вопросы, представлено несколькими нормативными актами. В частности, к группе таковых можно отнести основной Закон - Конституцию, а также ФЗ 152 "О защите персональных данных". Изменения в эти нормативные акты вносятся не очень часто, что позволяет специалистам более досконально изучить каждую новую поправку и применить ее на практике надлежащим образом.

Кроме российского законодательства, вопросы, связанные с защитой персональных данных, регулируются и международными нормативными актами. Кроме этого, данная деятельность ведется также и на основании нормативных актов, которые издаются органами местных властей, имеющимися в государстве. Законодатель отмечает, что в таких нормативных актах может содержаться регламент относительно обработки данных конкретного типа, но не могут быть предусмотрены правила, касающиеся ограничения определенных прав субъектов, которые являются носителями персональных данных.

Все законы и подзаконные акты, в которых прописаны требования относительно обработки персональных данных, а также обеспечения их защиты, в соответствии с законодательством, должны быть опубликованы официально на ресурсах, доступных для общества. Это правило имеет одно исключение, которое касается документов, регламентирующих работу с секретной информацией - данные сведения должны защищаться от доступа в довольно строгом порядке.

Принципы обработки данных персонального характера

В тексте ФЗ 152 "О защите персональных данных" говорится о том, что работа со сведениями, составляющими личную информацию, должна производиться исключительно в соответствии с определенными принципами. Какие они? Рассмотрим это далее более детально.

В первую очередь, все действия сотрудников органов и служб, которые имеют дело с обработкой личной информации, должны осуществляться с учетом основного принципа - законности. Это означает то, что все сведения, имеющиеся в базе, должны быть добыты законным путем, добросовестно и обработаны надлежащим образом, исключительно в рамках тех целей, для которых они были предоставлены. Кроме этого, должностное лицо, которое занимается обработкой вверенной ему информации, должно использовать те данные, которые позволяют рамки его полномочий.

Все способы обработки сведений, а также их характер, объем должны полностью соответствовать тем целям, для которых была принята в работу информация. В процессе деятельности не могут быть объединены сведения для обработки их в рамках нескольких целей единовременно. Исключением может стать только работа, производимая в информационной системе.

Все личные данные, которые предоставляются в обработку, должны быть достоверными - это также один из основных принципов работы с информацией рассматриваемого характера. Их объем должен быть достаточным для проведения операции в надлежащем виде, законодатель не допускает истребование у лица избыточных сведений, которые не требуются для проведения всех необходимых действий.

Условия, при которых возможна обработка сведений

В Положении о защите персональных данных предусматривается то, что вся работа с информацией, предоставленной на обработку, должна производиться на законных основаниях. Что это означает?

В первую очередь, следует помнить о том, что вся работа с личными данными должна осуществляться исключительно с согласия самого лица, которое является их обладателем. Что касается лица, которое совершает саму процедуру работы, то оно обязательно должно быть уполномоченным на то законом либо отдельным юридическим лицом, в котором производится обработка. В том случае, если лицо, которое принимает информацию, в ходе процесса работы со сведениями должен передать их иному сотруднику учреждения или организации, то в таком случае то самое иное лицо также обязано обеспечивать их сохранность.

В некоторых случаях законодатель предусматривает возможность использования личных данных без согласия на то субъекта, являющегося их непосредственным носителем. В частности, это касается того момента, когда производится использование данных для составления статистических отчетов, а также для достижения научных целей. Также это касается того случая, когда необходимо обеспечить исполнение договорных обязательств, защиту жизни и здоровья одного человека или целого общества. Кроме этого, наличие разрешения субъекта персональной информации не требуется в том случае, когда сведения используются в работе журналистами, в творческой или в научной деятельности. Однако, в Положении о защите персональных данных указывается то, что сведения могут быть применены исключительно профессиональной деятельности и только в том случае, если их раскрытие не принесет ущерб субъекту данной информации.

Особые категории персональной информации

Законодатель предусматривает определенный перечень персональной информации, которая представляет собой несколько категорий особого типа. К числу таковых относятся сведения о расовой принадлежности лица, о его философских и личных убеждениях, об интимной жизни, а также о состоянии здоровья. Данные группы сведений особенным образом охраняются законодательством и их разглашение ни в коем случае не допускается, за исключением определенных случаев. Какие они?

В первую очередь, следует обратить внимание на то, что согласие лица на раскрытие личных данных, относящихся к особым категориям, не требуется в том случае, если они уже являются общедоступными. По большей мере, это касается известных личностей, о жизни которых в открытых каждому источниках имеется немалое количество информации, в том числе, и личного характера.

В том случае, если субъект персональной информации особого характера дает свое письменное разрешение на разглашение сведений, они также могут быть раскрыты.

Что касается сведения относительно состояния здоровья человека, то защита персональной информации данной группы производится особым образом. В современной правовой практике имеется такое понятие, как "врачебная тайна". Именно благодаря ему и обеспечивается сохранность сведений медицинского характера, касающихся человека. Лица, которые, в силу своих должностных обязанностей, знают о состоянии здоровья пациента, не имеют права разглашать полученную информацию третьим лицам без письменного согласия на то самого клиента медицинского учреждения. В противном случае, лицо, которое не соблюдает данное правило, подвергается ответственности. Для получения доктором или иным профессиональным сотрудником медицинского или профилактического учреждения личной информации не требуется разрешение субъекта, так как неполучение специалистом информации относительно состояния здоровья человека может угрожать ему смертью или существенным ухудшением общего положения организма.

В современной практике также разрешается обработка информации личного характера, представленной в группе особых сведений, осуществляемая в процессе проведения следственных действий или судебного разбирательства дела по существу.

Персональные данные биометрического характера

В современную эпоху высоких технологий все большую популярность набирает новый вид личной информации - биометрические данные. Они представляют собой особую группу сведений. Обработка и защита персональных данных этого типа также производится на основании Закона РФ "О персональной информации".

В указанном акте говорится о том, что обработка данных биометрического характера, к числу которых относятся все те сведения, которые характеризуют биологические особенности конкретного человека, может быть произведена исключительно на основании письменного согласия, которое должно быть предоставлено субъектом личных данных непосредственно.

Однако, несмотря на такую строгость закона в отношении защиты конфиденциальности биометрических данных человека, и из этого имеется исключение. Оно заключается в отсутствии необходимости предоставления письменного согласия лица на обработку биометрической информации в случае ведения оперативно-розыскных мероприятий, которые могут производиться правоохранительными органами различных категорий, а также сотрудниками пограничных и миграционных служб.

Меры по обеспечению безопасности данных

После того, как личные данные субъектов принимаются в обработку, оператор и лица, которые принимают сведения на рассмотрение, обязаны обеспечивать их безопасность, которая заключается, в первую очередь, в отсутствии возможности попадания их к посторонним лицам. Какие предусматриваются требования к защите персональных данных?

Процедуры, связанные с обеспечением сохранности личных данных лиц, должны производиться с момента приема информации в обработку. Для этого оператор, который осуществляет данную деятельность, должен принимать меры технического и организационного характера, которые позволят обеспечить желаемую цель. Как правило, для этого используются средства шифровального типа (криптографические), которые препятствуют неправомерному и случайному доступу к внесенным сведениям, их копированию, блокированию, видоизменению и иных операций, которые могут быть произведены над данными, внесенными в открытом виде.

В том случае, если данные обрабатываются в рамках информационных систем, также должна обеспечиваться надлежащая безопасность. Определенные требования выдвигаются к материалам, на которых хранятся данные биометрического характера, а также к технологиям, при помощи которых обеспечивается сохранность элементов.

Над теми лицами и службами, деятельность которых связана со сбором, обработкой и хранением личных данных людей, законодатель устанавливает определенный контроль, который обеспечивает надлежащее исполнение ими всех предписанных в Законе №152 "О защите персональных данных" пунктов. В качестве контролирующих лиц и органов, в первую очередь, выступают представители исполнительной власти, призванные обеспечивать безопасность в различных сферах деятельности. Они имеют право производить контроль исключительно в пределах тех полномочий, которые представляются для них Законом, без возможности прямого доступа к конфиденциальной информации.

Любая контрольная и надзорная деятельность уполномоченных на то лиц или органов может быть осуществлена по индивидуальному заявлению лица, сохранность личных данных которых не была обеспечена, в связи с чем произошла их утечка. Контролирующий субъект обязан рассмотреть представленное обращение, после чего произвести проверку, в результате которой должны быть приняты меры относительно дальнейшего обеспечения безопасной сохранности вверенных личных сведений, а также устранения негативных последствий, которые повлекло за собой их разглашение. В том случае, если оператор незаконным путем получил сведения или запросил те данные, которые являются излишними, контролирующий орган обязан потребовать их полное удаление, а также блокирование.

О конфиденциальности персональных данных

Действующий Закон "О защите персональных данных" (ФЗ 152) предусматривает необходимость обеспечения конфиденциальности всех сведений, которые предоставляются субъектами в обработку. Данная обязанность, как правило, возлагается на самого оператора, который принимает данные в обработку, а на предприятиях - на определенных лиц, предусмотренных в специальном Положении. Однако в двух случаях законодатель все же разрешает снять конфиденциальность со сведений. Первый из них - это случай, когда данные полностью обезличиваются. Иными словами, они могут быть раскрыты, но только таким образом, чтобы по предоставленным третьим лицам сведениям невозможно было установить, о чьих конкретно личных данных идет речь.

Второй случай снятия конфиденциальности с информации относится к и без того открытой информации. Как правило, к таким личным данным относятся имя и фамилия человека, год рождения, город и точное место проживания, номер телефона, а также данные об образовании, профессии, карьерных достижениях и т. п. Однако, такое возможно лишь в том случае, когда сам субъект персональной информации дал свое письменное разрешение на снятие конфиденциальности со сведений.

Разрешение субъекта

Как уже упоминалось выше несколько раз, для обработки персональных данных субъекта требуется его письменное разрешение на работу с предоставленными оператору сведениями. Оно может быть оформлено в письменной форме и закреплено личной подписью. При желании, субъект имеет право в любой момент отозвать свое разрешение.

Рассматриваемое разрешение обязательно должно включать в себя определенный перечень сведений о субъекте. В их числе указываются имя, фамилия и отчество, его место жительства, а также данные документа, выданного государством, который удостоверяет личность. Кроме этого, в нем обязательно должна быть указана цель, с которой предоставляются сведения в обработку, а также определенный перечень сведений, которые были приняты оператором. Также субъект должен указать способ обработки сведений, на который он соглашается.

В самом конце документа обязательно должен быть указан срок, на протяжении которого действует согласие субъекта, а также определен порядок, в котором может состояться отзыв написанного документа.

После отметки всех представленных выше данных, субъект персональной информации обязан поставить дату, когда был составлен документ, а также свою подпись.

В том случае, если лицо не имеет возможности дать согласие на обработку данных в связи со своей смертью, это должны сделать за него наследники. Если же лицо является недееспособным, либо по физиологическим причинам не имеет возможности собственноручно написать согласие, то это могут сделать его законные представители.

Обязанности оператора

ФЗ 152 "О защите персональных данных" представляет вниманию всех заинтересованных лиц определенный перечень обязанностей, которые должен соблюдать оператор, работающий с личными данными субъектов.

По первому же запросу (устному или письменному) оператор обязан предоставить субъекту, который является носителем личной информации, все сведения относительно того, для каких целей будут использованы все предоставленные им данные, каким именно образом произведется их обработка, а также то, в течение какого времени будет производиться процедура. В обязательном порядке данные сведения также должны быть предоставлены в момент приема сведений и их фиксации.

В том случае, если личные сведения должны быть предоставлены в обязательном порядке, оператор должен уведомить субъекта об этом, а также разъяснить возможные юридические последствия его отказа от данной процедуры.

В некоторых случаях оператор может получать личные данные лиц не от них самих, а через посредников. В таком случае он обязан уведомить субъекта персональной информации о том, кто предоставил его сведения, а также цель, для которой данное действие было совершено.

Обработка и защита персональных данных полностью возлагается на оператора, который принимает сведения от лица. Именно он и несет ответственность за ненадлежащее исполнение этой своей прямой обязанности.

Защита персональных данных в организациях и на предприятиях

На любого человека, который ведет трудовую деятельность на каком-либо предприятии или в организации, имеется заведенное, в соответствии с требованиями законодательства, личное дело, в котором отражается огромное количество сведений, представляющих собой персональную информацию. Их сохранность также должна обеспечиваться надлежащим путем. Все требования к данному процессу отражены в содержании Положения о защите персональных данных работников, которое должно составляться на каждом предприятии индивидуально. Следует отметить, что имеется единая рекомендательная форма данного нормативного акта, имеющего локальный характер, однако в ней, по большей части, представлены основные принципы и требования к содержанию. При желании, на любом предприятии может быть принято свое индивидуальное Положение о защите персональных данных работников. Образец данного документа не предусматривает особенностей ведения деятельности конкретного предприятия, что может быть исправлено в случае разработки и принятия индивидуального документа.

Что касается обеспечения сохранности сведений и защиты персональных данных работников, то данные функции могут осуществляться в порядке ведения зашифрованной базы данных, в которую вносятся все индивидуальные данные, предоставленные работниками. Такие информационные системы, как правило, имеют локальный или системный характер, кроме того, на предприятии их может быть несколько. В числе данных, внесенных в такие базы, как правило, содержатся данные относительно должности, оклада, сертификатов, научных званий, наград, списка индивидуальных клиентов, социального статуса и т. п.

Разработка Положения и сопутствующих документов

Процесс разработки рассматриваемого Положения также прописан в ФЗ "О защите персональных данных". Закон отмечает, что данный документ должен быть разработан и принят путем согласования каждого пункта. В первую очередь, следует разработать проект документа, в котором должны быть отмечены все основные положения, в числе которых обязательно необходимо предусмотреть порядок обработки сведений личного характера о сотрудниках.

В связи с тем, что любой субъект персональной информации должен дать свое разрешение на обработку его личных данных, на всех предприятиях и в организациях должны быть разработаны два дополнительных проекта: согласия на обработку предоставленных сведений, а также уведомления о том, что все данные будут включены в общую базу. Кроме этого, предприятие обязано создать документ, в содержании которого будет даваться обязательство относительно надлежащего хранения информации, имеющей статус ограниченного доступа.

О том, что на предприятии будет вестись рассматриваемая база данных, должен быть издан приказ, который обязан подписать руководитель или лицо, уполномоченное на то. В его тексте необходимо указать само название базы, утвердить Положение, которое вводится в структурном подразделении или на всем предприятии в целом, а также определить нововведения в деятельности должностных лиц, чья деятельность связана непосредственно с обработкой личной информации и ее хранением.

После составления проектов всех вышеперечисленных документов, на предприятии должна быть собрана комиссия для обсуждения представленных в них положений. Только после того, как все лица, вошедшие в состав комиссии, будут удовлетворены каждым положением, документы могут быть подписаны и введены в действие.

Для осуществления защиты персональных данных изменения могут быть произведены и в структурных подразделениях предприятий. Нередко с этой целью вводятся новые штатные должности или изменяются обязанности лиц, занимающих уже имеющиеся места. В Законе "О защите персональных данных" не устанавливается конкретный перечень сотрудников, которые являются ответственными за сохранность вверенных сведений. Как правило, такой круг лиц определяется Положением на каждом предприятии отдельно.

Структура Положения о защите персональных данных (образец)

Персональные данные работников любого предприятия должны охраняться надлежащим образом. Именно для этого, создавая Положение по предприятию, необходимо четко знать то, какие моменты в нем должны быть рассмотрены. Итак, рассмотрим примерную структуру Положения о защите персональных данных (образец).

Персональные данные, которые находятся под охраной и относятся к категории личных, должны быть в точности определены в данном документе. Как правило, в локальных актах большинства предприятий их перечень указывается сразу после вступительной части, в которой должны быть прописаны общие положения и основные понятия, которые могут быть использованы в документе. В Положении следует четко определить тот порядок, в котором будет осуществляться доступ к данным, а также круг лиц, имеющих право на это. В том случае, если на предприятии или в организации имеется определенный перечень личных сведений, которым присвоен статус особой секретности, доступ к ним должен быть определен отдельно.

В Положении обязательно должен предусматриваться четкий комплекс действий и мер, с помощью которых будет осуществляться охрана данных, ответственность за нарушение установленных требований, наказание разглашение персональных данных, а также за халатное отношение к своим должностным обязанностям, связанным с приемом, обработкой сведений и обеспечением их сохранности.

В образце Положения о защите персональных данных также говорится о том, что в его структуре должен быть раздел, посвященный правам и обязанностям, имеющимся у работников, связанных с обработкой их личных сведений.

При необходимости, в связи со спецификой деятельности предприятия, в Положении могут быть указаны и дополнительные требования и понятия.

Устранение нарушений в процессе обработки предоставленных личных сведений

Вся ответственность за отсутствие сохранности личных сведений субъекта, в соответствии с ФЗ "О защите персональных данных", полностью возлагается на самого оператора, который совершал прием сведений и их обработку. В случае нарушения требований, выдвинутых законодательством, он обязан принять все меры, которые необходимы для устранения нарушения.

В соответствии с ФЗ "О защите персональных данных", если субъект обращается в контролирующие органы с жалобой на ненадлежащую работу оператора, принявшего его личные сведения, эти данные должны быть немедленно заблокированы на тот период, пока будет проводиться проверка. После того, как нарушение будет установлено, оператор обязан устранить все недочеты - это следует сделать в течение трех суток с момента вынесения постановления контролирующим органом. В Законе "О защите персональных данных" говорится о том, что устранение нарушений должно быть произведено путем удаления информации о субъекте. То же самое следует сделать и в том случае, если субъект отозвал свое разрешение на обработку личной информации. Так, например, любое Положение о защите персональных данных работников (образец) обязательно должно иметь в своем содержании правила относительно удаления сведений о сотруднике, который отозвал свое разрешение на обработку своих личных данных.

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

5.1. Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Консультации юриста по ст. 23 Закона О персональных данных

Задать вопрос:


    Кирилл Тюренков

    Вопрос к практикующим юристам по гражданскому судопроизводству. Некий, очень распространенный телефонный справочник, напечатал у себя ложную информацию. Ухитрившись дать мой мобильный номер (номер прямой, с городским кодом) , как номер промышленного предприятия. Теперь мне постоянно звонят и круглосуточно пытаются присылать факсы. Информацию в новых изданиях исправили, но старые справочники и CD с информационными программами продолжают использоваться. Сразу говорю, тариф у меня безлимитный и финансовых притензий не предъявить, только моральные.. . Есть ли возможность, что-либо отсудить у компании-издательства?

    • Ответ юриста:

      Возможность есть.ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ"О ПЕРСОНАЛЬНЫХ ДАННЫХ" Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;3) цель обработки персональных данных;4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;6) срок, в течение которого действует согласие, а также порядок его отзыва.5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

    Ирина Тимофеева

    вопрос целиком. в ТСЖ при обращении в бухгалтерию, паспортный стол или просто к технической службе за любой справкой, учетной карточкой или выпиской из домовой книги от жильца требуют предоставить квитки об оплате жилья, и только при наличии оплаченных квитанций выдают справки. на старом месте жительства такого никогда не практиковалось.. . значит ли это, что здесь царит самоуправство? или их требования подкреплено законом? спасибо

    • Ответ юриста:

      Все справки и выписки вам обязаны выдавть по первому требованию. Закон смотрите ниже. Если ны выдают жалуйтесь в управу.

      Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных

      Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

      1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

      2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

      3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

      4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

    Ирина Комарова

    Вас снимает скрытая камера, или как жить дальше!. Всем привет, очередной опус из жизни России! Сегодна бродя по знакомым сайтам натыкаюсь на следующее - Главное Управление Федеральной Службы Судебных Приставов Смотрим ссылку и видим РЕЕСТР ДОЛЖНИКОВ, я задался вопросом, а как же 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. 2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. То есть, ОРГАН ГОСУДАРСТВЕННОЙ ВЛАСТИ ДЕЙСТВУЕТ С НАРУШЕНИЕМ НОРМ ПРЕДУСМОТРЕННЫХ КОНСТИТУЦИЕЙ РФ. Жду Ваших комментариев, дополнений и ответов!

    • Ответ юриста:

      Что - то я уже написал в комментариях, пробежавшись по интересным обсуждениям. Ты же профессионал, где специальные нормы, где анализ? Сначала немного повторюсь: сведения о том, что кто - либо должник по какому - либо исполнительному производству не могут умалять чью- то деловую репутацию. Часть нарушений прав, источник нарушения прав - не реестр, он в головах людей. 1.Есть ошибочные представления. и первое - то, что если должник по исполнительному производству - значит нарушитель. Уже приводил пример: подписал мировое соглашение, поделили пошлину пополам и вот уже должник. Ничего не нарушил, никаких обязательств. Усилиями наших фюреров общество больно обвинительным подходом. Неисполнение обязательств часто бывает невиновным, т. е. из факта наличия долга не следует "нерадивости". 2. Наличие исполнительного производства (хоть десятков) никак не свидетельствует само по себе о материальном положении или тем паче, неплатежеспособности. Возбудили исполпроизводство и должник долг погасил и т. д. Взыскатель решил не предлагать добровольного исполнения, а сразу передал исполлист в ПСП 3. Т. н. "реестр" таковым не является. Это - очень отрывочные сведения о выданных исполлистах с указанием судебных актов и номеров исполнительных документов. Более того, если вы обратите внимание, представленная информация - НЕ информация УФССП. Нет данных о номерах исполнительных производств, о дате возбуждения исполпроизводства. Это информация- судов. 4. Вы можете "поиграть" с т. н. "реестром", чтобы окончательно убедится. что он не содержит достоверной и полной информации, информация произвольно натыкана. Например наберите "АвтоВаз" .а потом "Пикалево" и т. д. 5. Если Вы обратите внимание на ст. 5 Закона о персональных данных, и Федеральный закон Российской Федерации Об информации, информационных технологиях и о защите информации, то без труда увидите адмонарушения, ответственность за совершение которых предусмотрена ст. 13.11 -13.13 КоАП РФ . В частности нет соблюдения требования п. 4 ч. 1 ст. 5 Закона о персональных данных: достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Есть некая база неактуальной. недостоверной, неполной информации, она выдается за реестр должников, люди вводятся в заблуждение. Ни порядка ведения "реестра", ни правил, ни актуальности. Обработки данных практически никакой: вывалили что - то когда- то. 6. То, что касается адмоответственности за разглашение информации с ограниченным доступом, то я этого нарушения не увидел, т. к. не видел сведений о физлицах- должниках Если бы такая информация была, то можно было бы говорить об этом. в т. ч. через призму ст. 84, 102 Налогового кодекса РФ, ст. ст. 85-90 ТК РФ и т. д. Кстати, обратите внимание: даже ОГРН не указываются. Т. е. нарушения происходят в области правил обработки данных, происходит введение в заблуждение (массовое) . Иными словами. мы посмотрели в "реестр" увидели там должника, а он уже не должник. Мы посмотрели в реестр, не увидели в нем должника, а он должник по десятку иполпроизводств. Дезинформация. Для каких целей? Для галочки. Их пинают, что они дремучие. вот они и вид делают "цивилизованный", а на деле- нарушение прав на информацию, прав на защиту информацию и т. д. Вот, примерно так. сорри, что несколко "на бегу". А, кстати, и запрос если нормальный направлять то со ссылками на положения Закона о персональных данных и Закона о защите информации, т. е. буквально цитируя: кем, когда утверждены какие правила. где опубликованы. каков порядок ведения реестра и т. д. Если тебя как- то принципиально "заело", могу помочь.

    Яков Одоевский

    Офис Мегафон дал распечатку моих смс постороннему человеку без моего разрешения и в результате....

    Клавдия Никитина

    уведомление об обработке персональных данных должны заполнять все юридические лица? для чего? и какие последствия?. а если у предприятия четыре лицензии на разные виды деятельности, то нужно подавать четыре уведомления или как?

    • Ответ юриста:

  • Игорь Трудягин

    Имеют ли право уволить перед пенсией и на каком основании?

    • На любом основании, предусмотренном ТК для любого работника

    • Андрей Глушаков

    Помогите, пожалуйста решить задачу по ТП! ! СРОЧНО!!. №1 В трудовых договорах всех руководителей структурных подразделений ОАО «Спектр» предусмотрено, что они не имеют права работать по совместительству, а также выполнять любую платную работу в других организациях. Однако, руководитель отдела технического контроля Семенов регулярно проводил платные консультации и выполнял различные заказы в другой организации, за что ему был объявлен выговор. В суде представитель ответчика – начальник отдела кадров пояснил, что трудовой договор – это главный правовой акт, подписанный сторонами. Поэтому нарушать его не вправе ни работодатель, ни работник.Правомерное ли условие включено в трудовые договоры?И №2 Инспектор отдела кадров Державина распространяла среди своих знакомых сведения из персональных данных инженера Карамзина которые, по его мнению, порочили его честь и достоинство. Карамзин потребовал от директора организации защитить его персональные данные от неправомерного использования и привлечь Державину к административной ответственности. Директор оштрафовал Державину на три минимальных размера оплаты труда. Составьте перечень нормативных актов, регулирующих порядок сбора, обработки, хранения распространения и защиты персональных данных работника. К каким видам ответственности может быть привлечена Державина?

    • Если речь идет о чужих людях (например, собственниках разных комнат в коммуналке), то полиция еще как-то пошевелится. Если сособственники между собой в родстве, то для полиции это семейный скандал и совершенно бесперспективный геморрой,...

Документы по защите персональных данных работников необходимы для успешного внедрения на предприятии системы обеспечения конфиденциальности таких сведений. В нашей статье вы найдете информацию не только о том, какая документация может применяться в ходе работы с персональными данными, но также и о том, где можно скачать примеры таких документов.

Законодательство о комплекте документов по защите персональных данных в организации

Законодатель в ст. 7 ФЗ «О персональных данных» от 27.07.2006 № 152 устанавливает обязанность организаций, имеющих статус оператора персональных данных (далее — ПД), т. е. юридического лица, выполняющего сбор, обработку и хранение такой информации, по обеспечению конфиденциальности сведений. Чтобы предотвратить несанкционированный доступ к ПД, необходимо реализовать комплекс защитных мер, в перечень которых входит разработка пакета специализированных документов и их внедрение в деятельность предприятия.

При этом законодатель не определяет точного состава такого пакета и не указывает, какую форму должны иметь документы по защите персональных данных. Это означает, что руководство организации может определить перечень и вид используемой для этих целей документации самостоятельно.

Что входит в пакет документов по защите персональных данных, где можно скачать образцы?

Условно всю документацию, используемую в ходе реализации мероприятий, направленных на обеспечение защиты персональных данных на предприятии, можно разделить на 3 группы:

  1. Организационные. Такие документы определяют задачи, функционал и объем ответственности служб и сотрудников, занимающихся сбором, обработкой и хранением персональных данных работников предприятия. К этой категории относятся:
    • положение о ПД (либо о защите ПД);
    • должностные инструкции;
    • приказы (о допуске к работе с ПД, утверждении списка сотрудников, имеющих право на работу с ПД, и пр.);
    • уведомления.
  2. Технологические. В документации такого вида содержатся сведения, определяющие порядок и способы реализации процедуры защиты персональных данных. К ней могут быть отнесены инструкции по обработке и защите ПД.
  3. Методические. Эти документы детализируют процессы обработки ПД и определяют порядок работы с документами и иными носителями ПД. К данной группе относятся правила работы с ПД.

Таким образом, пакет документации по защите ПД может включать в себя должностные инструкции, приказы, уведомления, а также положения, регулирующие порядок сбора, обработки и хранения информации. Образцы всех этих документов имеются на нашем сайте.



Просмотров

Психологическая структура малой группы Роли и структура малой группы
Психологическая структура малой группы Роли и структура малой группы
Мягкая и сочная жареная горбуша на сковороде
Мягкая и сочная жареная горбуша на сковороде
Откуда берутся прыщи на спине и как от них избавиться
Откуда берутся прыщи на спине и как от них избавиться
Уксус применение в быту и полезные свойства
Уксус применение в быту и полезные свойства
Детские каши кулинарные рецепты Каши для детей 1
Детские каши кулинарные рецепты Каши для детей 1
Как приготовить рулетики из свинины, фаршированные сырно-овощной начинкой?
Как приготовить рулетики из свинины, фаршированные сырно-овощной начинкой?