Субъект персональных данных что такое. Понятие, субъект и объект защиты персональных данных работников

Содержание
  1. Виды персональных данных
  2. Законодательное регулирование
  3. Разновидности ПД
  4. Общие
  5. Биометрические
  6. Специальные
  7. Обезличенные
  8. Персональные данные – использование на предприятии
  9. Обработка ПД
  10. Типы персональных данных на предприятии
  11. Ответственность за разглашение
  12. Трудовой кодекс РФ. Глава 14. Защита персональных данных работника
  13. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
  14. Статья 87. Хранение и использование персональных данных работников
  15. Статья 88. Передача персональных данных работника
  16. Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
  17. Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  18. Что входит в понятие персональных данных
  19. Персональные данные: что это, нормативная база
  20. Классификация персональных данных
  21. Общие персональные данные
  22. Биометрические ПД
  23. Специальные ПД
  24. Обезличенные ПД
  25. Персональные данные и их виды: для тех, кому нужно быстро разобраться | Блог Mail.Ru Cloud Solutions
  26. Какие бывают виды персональных данных
  27. Общие персональные данные
  28. Специальные персональные данные
  29. Биометрические персональные данные
  30. Кто такие оператор и субъект персональных данных
  31. Как оператор обязан защищать персональные данные
  32. Субъект персональных данных – это кто такой? Форма согласия субъекта персональных данных
  33. Ограниченный доступ
  34. Операторы
  35. Доступ к личным сведениям
  36. Предоставление информации
  37. Перечень доступных сведений
  38. Предписания законодательства
  39. Сбор информации
  40. Меры безопасности
  41. Работа с заявлениями
  42. Устранение нарушений
  43. Форма согласия субъекта персональных данных
  44. Ответственность за неисполнение предписаний законодательства
  45. Уведомление о работе с информацией
  46. Оформление уведомления

Виды персональных данных

Субъект персональных данных что такое. Понятие, субъект и объект защиты персональных данных работников

Предоставлять свои персональные данные и давать согласие обрабатывать их зачастую нужно в самых различных инстанциях – в банках, кредитных организациях, во время внесения информации в регистрационные формы на некоторых интернет-ресурсах.

Многие, не задумываясь, соглашаются указывать личные данные, не догадываясь при этом о последствиях, которые могут произойти при использовании этой информации недобросовестными лицами.

Поэтому важно знать, какие виды персональных данных существуют, кому и при каких обстоятельствах можно их предоставлять, чтобы не попасть в очень неприятную историю.

Законодательное регулирование

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.

Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.

Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.

Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней.

Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.

Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.

В определенных случаях используется особое требование по работе с ПД, если они:

  • необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
  • находятся в архивной документации;
  • принадлежат к данным, составляющим государственную тайну;
  • должны быть предоставлены по судебному акту.

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

  • общие;
  • биометрические;
  • специальные;
  • обезличенные.

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

  • фамилию, имя, отчество;
  • место регистрации и жительства;
  • информацию из паспорта;
  • сведения об имеющемся образовании;
  • информацию о месте работы;
  • сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной.

К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица.

Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др.

Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить.

Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

  • дактилоскопические;
  • анализ ДНК;
  • группу крови;
  • рост, цвет глаз, вес и др.

К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни.

Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил.

Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации.

Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами.

Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Персональные данные – использование на предприятии

В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).

Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.

Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.

В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.

Обработка ПД

Целью, которую преследует обработка и хранение ПД на предприятии, является необходимость правильно реализовать рабочую активность компании. Обработка ПД необходима для:

  • фиксации факта приема сотрудника на работу;
  • удостоверения оснований для продвижения по карьерной лестнице;
  • подтверждения оснований для выплаты зарплаты;
  • осуществления контроля выполнения производственных заданий и работ.

Работникам компании должна быть доступна информация о том, каким образом осуществляется хранение и обработка их личных данных, поэтому наниматель обязан ознакомить их с данной информацией. Подтверждением того, что сотрудники были уведомлены об этом, является личная подпись каждого из них.

Типы персональных данных на предприятии

На предприятии необходимо собрать два типа ПД:

  • требуемых для заключения трудового договора;
  • запрашиваемых и формируемых непосредственно работодателем.

ПД, которые хранятся на предприятии в личных делах по каждому работнику, обычно содержат данные:

  • о семейном статусе и отдельных членах семьи (иждивенцы, дети, возрастные данные, количество, данные о состоянии здоровья и др.);
  • копии документов по пенсионному государственному страхованию;
  • о конкретном сотруднике (паспортные данные, профессия, квалификационные характеристики и др.).

Наниматель должен создать и утвердить внутренний нормативный акт, который описывает порядок хранения ПД в виде Положения о ПД или Инструкции. Данные нормативы должны быть доведены до сведения работников, которые ответственны за сбор и обработку персональной информации. Они должны неукоснительно соблюдать все требования, изложенные в таких документах.

При соблюдении всех формальностей на предприятии по сбору, хранению и использованию ПД они будут максимально защищенными.

Ответственность за разглашение

152-й закон, который призван защищать персональные данные физических лиц, предусматривает исключительно административный вид ответственности в случае разглашения ПД на предприятии.

Соответственно, если компания не способна предоставить своим наемным работникам полную защиту личных данных, работодатель может быть наказан только штрафом.

Данное наказание выражается незначительными суммами.

Штраф, который должен быть наложен на работодателя при выявлении нарушений такого характера, может составить в пределах 5–10 тысяч рублей. Но это касается единичного нарушения. Обычно при проверках выявляют значительное количество такого рода проблем, соответственно, и суммы штрафов при этом растут.

Но финансовые затраты – это не основное последствие неправильного использования и хранения ПД. Такие факты сказываются на репутационных показателях компании. Если сотрудники соглашаются на обработку персональной информации, они должны быть уверены, что предприятие гарантирует ее правильное хранение и использование.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

Трудовой кодекс РФ. Глава 14. Защита персональных данных работника

Субъект персональных данных что такое. Понятие, субъект и объект защиты персональных данных работников

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Источник: https://www.SuperJob.ru/trudovoj-kodeks/14-zaschita-personalnyh-dannyh-rabotnika.html

Что входит в понятие персональных данных

Субъект персональных данных что такое. Понятие, субъект и объект защиты персональных данных работников

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г.

Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо.

Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту.

Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим.

Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника.

Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества.

Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье

  • ФИО;
  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • ИНН;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными.

Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД.

Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д.

Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;
  • СМИ.

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Источник: https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Персональные данные и их виды: для тех, кому нужно быстро разобраться | Блог Mail.Ru Cloud Solutions

Субъект персональных данных что такое. Понятие, субъект и объект защиты персональных данных работников

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

Подробнее об обязанностях оператора ПДн и уровнях защищенности персональных данных можно прочитать в двух других наших статьях: «Как соблюсти 152-ФЗ» и «Защита персональных данных в облаке».

Источник: https://mcs.mail.ru/blog/chto-takoe-personalnye-dannye-ih-hranenie-i-obrabotka

Субъект персональных данных – это кто такой? Форма согласия субъекта персональных данных

Субъект персональных данных что такое. Понятие, субъект и объект защиты персональных данных работников

Персональными данными называют любые сведения, относящиеся к конкретному или определяемому на их основании физлицу. К ним относят Ф. И. О.

, место, дату рождения, семейный, социальный, имущественный статус, адрес проживания, профессию, образование и пр. Субъект персональных данных – это, проще говоря, носитель такой информации.

В качестве источников сведений могут выступать паспорт, медицинская карта, финансовые ведомости и так далее.

Ограниченный доступ

Персональные данные без согласия субъекта не могут вноситься ни в какие документы и базы. С разрешения носителя информации в общедоступные источники могут включаться сведения о его Ф. И. О.

, адресе, месте, дате рождения, абонентском номере и пр. Действующим законодательством гарантируется защита прав субъектов персональных данных.

Лица, осуществляющие сбор и последующую работу с такими сведениями, за нарушение конфиденциальности сведений несут ответственность, вплоть до уголовной.

Операторы

Они осуществляют сбор и работу с информацией, относящейся к личности гражданина. Субъекты обработки персональных данных – муниципальные или госструктуры, физлица и организации.

Они не только осуществляют работу с информацией, но и определяют цели и содержание тех или иных операций с информацией.

При этом для совершения каких-либо действий оператор должен получить согласие субъекта персональных данных.

Доступ к личным сведениям

Одна из возможностей, которой наделен субъект персональных данных, – это получение информации об операторе. Носитель сведений может знать адрес нахождения, наличие соответствующих сведений у лица. Аналогичными возможностями обладает представитель субъекта персональных данных.

Полномочия этого лица должны подтверждаться документами, оформленными в соответствии с законодательными требованиями. Ознакомление со сведениями, которыми располагает оператор, – еще одна возможность, которой обладает субъект персональных данных. Это необходимо, в частности, для проверки достоверности сведений.

Эта возможность может быть ограничена только в случаях, прямо предусмотренных законодательством. Носитель информации может предъявить требование оператору о ее уточнении, блокировании или уничтожении.

Эта возможность реализуется в случаях, когда сведения являются устаревшими, неполными, незаконно полученными, недостоверными, не являются необходимыми для целей, заявленных оператором.

Субъект персональных данных – это главный участник операций с информацией о его личности. В соответствии с этим, он может предпринимать законные меры по обеспечению охраны сведений и предотвращению ущерба его личности, доброму имени, репутации.

Предоставление информации

Сведения о наличии данных у оператора должны передаваться субъекту в доступной форме. Не допускается включение в них личной информации других лиц.

Предоставление доступа к сведениям возможно по запросу субъекта-носителя данных или его поверенного.

Заявление должно содержать информацию об основном документе, подтверждающем личность гражданина, – номер, дату и место выдачи, наименование уполномоченной структуры. В запросе в обязательном порядке ставится подпись субъекта.

Если от его имени действует другое лицо, приводятся сведения о документе, подтверждающем полномочия. Подпись в заявлении в таком случае ставит представитель. Обращение может направляться в электронном виде. В этом случае заявление должно содержать цифровую подпись.

Перечень доступных сведений

Субъект вправе получить информацию, содержащую разные данные. К ним, в том числе, относят:

  1. Подтверждение факта работы с личными сведениями и ее цель.
  2. Методы обработки данных, используемые оператором.
  3. Сведения о работниках, имеющих доступ к информации, или которым он может быть предоставлен.
  4. Перечень сведений, с которыми осуществляется работа, источники их получения.
  5. Срок обработки и хранения имеющихся данных.
  6. Сведения о юридических последствиях работы с информацией.

Предписания законодательства

Как выше было сказано, право на доступ к личным данным может ограничиваться. Это происходит, если:

  1. Работа с информацией, полученной в рамках разведывательной, оперативно-розыскной, иной подобной деятельности производится для обороны страны, обеспечения ее безопасности и охраны порядка в обществе.
  2. Обработку данных осуществляют сотрудники, задержавшие субъекта по подозрению в преступлении, или предъявившие ему обвинение, или применившие к нему одну из существующих мер пресечения. Исключение составляют случаи, закрепленные УПК.
  3. Предоставление информации нарушит конституционные свободы и права третьих лиц.

Сбор информации

Законодательство может предусматривать обязанность субъекта предоставить свои данные для обработки. В таких случаях оператор должен разъяснить лицу последствия отказа от выполнения предписаний.

Если информация была получена не от носителя, кроме случаев, когда она была предоставлена на основании ФЗ, или если она является общедоступной, лицо, осуществляющее сбор сведений, должно предоставить следующие данные субъекту:

  1. Наименование оператора и его адрес (для физлиц – Ф. И. О.).
  2. Цель работы с информацией, юридическое основание.
  3. Потенциальные пользователи сведений.
  4. Права субъекта, установленные законодательством.

Меры безопасности

Оператор обязан использовать все доступные и допустимые средства, которыми обеспечивается защита прав субъекта персональных данных. В частности, он должен применять криптографические приемы, предотвращающие случайный либо незаконный доступ к сведениям, их уничтожение, блокирование, изменение, распространение и копирование.

Требования к безопасности данных при их обработке, к материальным носителям, технологиям хранения устанавливаются Правительством. Надзор за исполнением предписаний возлагается на исполнительную федеральную структуру власти в рамках ее компетенции.

Орган по защите прав субъектов персональных данных осуществляет контроль без возможности ознакомления со сведениями.

Работа с заявлениями

Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных. На операторов, работающих с информацией, возлагается ряд обязанностей.

В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных.

Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.

В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ.

В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание.

Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.

При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.

Устранение нарушений

При выявлении недостоверных сведений, обнаружении незаконных действий оператора при обращении либо по заявлению субъекта/его представителя к уполномоченной структуре о блокировке, она должна быть проведена незамедлительно.

Заинтересованное лицо может предоставить документы, в соответствии с которыми информация может быть уточнена. Если выявлены незаконные действия оператора, он в трехдневный срок с момента их обнаружения обязан устранить нарушения. Если это сделать не представляется возможным, сведения полежат уничтожению.

Это действие должно быть совершено в течение трех дней с даты обнаружения нарушений.

При достижении цели, для которой была необходима обработка данных, оператор обязан немедленно прекратить всю работу с информацией.

При этом он должен уничтожить сведения в трехдневный срок, если другое не предусматривается законодательством. О совершенных действиях оператор уведомляет субъекта или его представителя.

Если обращение либо заявление были направлены уполномоченной структурой, реализующей функции в сфере безопасности личных сведений, то извещается и она.

Форма согласия субъекта персональных данных

Разрешение лица на работу с его личными сведениями может предоставляться в любом виде, позволяющем подтвердить факт получения, если другое не закрепляется ФЗ № 152.

В своих разъяснениях Роскомнадзор (орган по защите прав субъектов персональных данных) рекомендует оформлять его письменно. Требования к документу присутствуют в 9 статье указанного выше Закона.

В письменное согласие включают:

  1. Ф. И. О., адрес лица, сведения о документе, подтверждающем личность (номер, серия, дата выдачи и наименование учреждения, его оформившего).
  2. Информацию о представителе субъекта. Кроме Ф. И. О., адреса, сведений о паспорте, приводятся реквизиты доверенности.
  3. Наименование либо адрес, Ф. И. О. оператора.
  4. Цель обработки личной информации.
  5. Перечень сведений, на работу с которыми дает разрешение их носитель.
  6. Наименование либо адрес и Ф. И. О. лица, осуществляющего обработку информации по поручению оператора.
  7. Конкретные действия, которые будут совершаться с информацией. Должно присутствовать также общее описание способов, используемых оператором при обработке данных.
  8. Период, в течение которого действует разрешение, если другое не устанавливается законодательством.
  9. Подпись субъекта-носителя данных.

Разрешение может предоставляться в электронном виде. В этом случае документ удостоверяется цифровой подписью.

Ответственность за неисполнение предписаний законодательства

Лицам, признанным виновными в нарушении требований ФЗ № 152, могут вменяться санкции в соответствии с действующими нормами. В частности, ст. 13.11 КоАП предусматривает наказания за незаконные сбор, хранение, использование, распространение сведений о гражданах. В качестве самой мягкой санкции выступает предупреждение. Кроме этого, ст. 13.11 предусматривает штрафы для:

  • физлиц – 300-500 р.;
  • служащих – 500-1 000 р.;
  • организаций – 5-10 тыс. р.

Моральный вред субъекту персональных данных, возникший в связи с ущемлением его интересов, нарушением предписаний действующего законодательства, подлежит возмещению в рамках гражданского судопроизводства. Его компенсация осуществляется вне зависимости от взыскания имущественного ущерба и понесенных убытков.

Уведомление о работе с информацией

До начала обработки данных оператор должен известить уполномоченную структуру (Роскомнадзор) о своем намерении. Исключение из этого правила закреплены в ч. 22 статьи ФЗ № 152. Оператор может не уведомлять уполномоченный орган, если он работает с данными:

  1. Относящимися к лицам, с которыми он связан трудовыми отношениями.
  2. Полученными при заключении договора, в качестве одной из сторон которого выступает субъект данных. При этом действует оговорка. Информация, полученная оператором, не должна распространяться и передаваться третьим лицам. Она используется исключительно для реализации условий договора и оформления соглашений с субъектом-носителем сведений.
  3. Относящихся к участникам религиозной или общественной организации. При этом полученная информация не должна распространяться без их разрешения.
  4. Являющимися общедоступными.
  5. Включающими только Ф. И. О. носителя.
  6. Необходимыми для однократного пропуска лица на территорию, где располагается оператор, либо в других подобных целях.
  7. Содержащимися в информационных базах, имеющих статус автоматизированных систем.
  8. Обрабатываемыми без применения средств автоматизации, согласно ФЗ или других нормативных актов, предусматривающих требования к безопасности информации при работе с ней и соблюдению интересов ее носителей.

Оформление уведомления

Извещение должно быть оформлено письменно. Оно подписывается уполномоченным служащим. Допускается направление уведомления в электронном виде. В этом случае оно заверяется цифровой подписью. В извещении необходимо указать:

  1. Наименование (Ф. И. О.) и адрес оператора.
  2. Цель работы со сведениями.
  3. Категории данных, которые будут обрабатываться.
  4. Юридическое основание для работы со сведениями.
  5. Категории лиц-носителей информации.
  6. Перечень конкретных действий оператора.
  7. Описание мер, которые будут предприняты для обеспечения безопасности сведений.
  8. Дату начала работы с информацией.

В уведомлении также должен присутствовать срок прекращения либо условие, при котором завершается обработка личных данных.

Источник: https://FB.ru/article/319423/subyekt-personalnyih-dannyih---eto-kto-takoy-forma-soglasiya-subyekta-personalnyih-dannyih

Водителю
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: