Смешанная обработка персональных данных

Содержание

Неавтоматизированная обработка персональных данных в организации

Смешанная обработка персональных данных

В этой статье речь пойдёт о правилах обработки персональных данных с участием человека.

Обработка персональных данных бывает:

  • автоматизированная – процесс обработки происходит посредством эксплуатации вычислительных средств;
  • неавтоматизированная – процесс обработки происходит с использованием человеческих ресурсов;
  • смешанная – интеграция в процессе обработки персональных данных вычислительных средств и человеческих ресурсов.

Правила неавтоматизированной обработки персональных данных закреплены в нормативном акте “ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, утверждённом постановлением Правительства РФ №687 от 15 сентября 2008 г.

В этом положении применяются основные Принципы обработки персональных данных, указанные в статье 5 федерального закона №152-ФЗ от 27.07.2006 г. “О персональных данных”:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.5. и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Итак, подробнее о правилах неавтоматизированной обработки данных.

Организация неавтоматизированной обработки персональных данных

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) – действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

Цитирую части положения о неавтоматизированной обработке ПДн:

4. Персональные данные при их обработке, осуществляемой без
использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).

5. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не
совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.

Использование типовых форм документов, содержащих персональные данные

7.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Ведение журналов, реестров, книг при организации пропускного режима

8.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

О несовместимости целей обработки и уничтожении персональных данных

9.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обеспечение безопасности обработки персональных данных

13.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Основные термины и определения, используемые при неавтоматизированной обработке персональных данных

Термины и определения содержатся в статье 3 федерального закона “О персональных данных”:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

В следующих статьях речь пойдёт о мерах по обеспечению сохранности персональных данных, исключении несанкционированного доступа к ПДн, о порядке принятия этих мер, и ответственности за их реализацию.

автор: юрист Демешин С.В.

Источник: https://zen.yandex.ru/media/info_law_society/neavtomatizirovannaia-obrabotka-personalnyh-dannyh-v-organizacii-5bf815edbddd2800abc11f9d

Смешанная обработка персональных данных

Смешанная обработка персональных данных

› Юридические советы

Практическая защита
персональных данных

Итак, Вы наконец то решили “разобраться” с защитой персональных данных в Вашей организации. С чего же начать?!

В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации.

В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного — подготовка документов по защите персональных данных, контроль за соблюдением требований по защите.

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации.

Напомним, что персональные данные – это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.

Субъект персональных данных — это человек, персональные данные которого Вы обрабатываете.

Особое внимание следует уделить так называемым специальным категориям персональных данных. К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).

После этого необходимо определиться с целями обработки каждого вида персональных данных.Целями могут быть:— обеспечение трудовых взаимоотношений (для персональных сотрудников); — обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях);

— исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»).

Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане».

Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных.

Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже.

Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона “согласие в письменной форме“).

Согласие в письменной форме требуется в следующих случаях:— обрабатываются специальные категории персональных данных— обрабатываются биометрические персональные данные

— будет осуществляться трансграничная передача персональных данных

Согласие субъекта не требуется в случаях: — обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);

— персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).

На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный.

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование компьютера.

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто.

По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.

), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.

Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных».Уведомление не требуется в случаях: — Обрабатываются только персональные данные сотрудников.— Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией.

И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор). — Обрабатываются только персональные данные членов общественного объединения или религиозной организации. — Обрабатываются общедоступные персональные данные.

— Персональные данные используются только для однократного пропуска на территорию организации. — Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества. — Персональные данные обрабатываются без использования средств автоматизации.

— Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.

— Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности

Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью.

Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.

Источник: https://kart.net.ru/smeshannaja-obrabotka-personalnyh-dannyh/

Федеральный закон от 30 декабря 2020 г. № 519-ФЗ “О внесении изменений в Федеральный закон «О персональных данных»

Смешанная обработка персональных данных

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст.

 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст.

 2701) следующие изменения:

1) статью 3 дополнить пунктом 1.1 следующего содержания:

“1.1) персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;”;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

“9. Требования согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.”;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

“2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;”;

5) дополнить статьей 10.1 следующего содержания:

“Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11.

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд.

Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.”;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

“3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;”;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

“4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;”.

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

Москва, Кремль

30 декабря 2020 года

№ 519-ФЗ

Установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения.

Запрещено использовать ПД без согласия владельца,  а он сам может потребовать от оператора прекратить распространение сведений о себе без необходимости доказывать, что это незаконно.

Прописана процедура обязательного согласования обработки ПД любым оператором данных. Нельзя получать согласие “автоматом” – по умолчанию или при бездействии субъекта ПД.

Если согласие дано, владелец данных вправе в любой момент его отозвать, после чего оператор обязан приостановить выдачу сведений.

В соглашении на обработку ПД, разрешенных для распространения, может содержаться запрет на передачу данных неограниченному кругу лиц и обработку ими этих сведений.

Каждый сайт обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки ПД.

Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Источник: https://www.garant.ru/products/ipo/prime/doc/400057172/

Способы обработки персональных данных

Смешанная обработка персональных данных

Современный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность.

Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку.

Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

  • сбор – это фактическая передача персональных данных от их субъекта оператору;
  • запись – может происходить и ручным, и машинным способом;
  • систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
  • накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
  • хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
  • уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
  • извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
  • использование;
  • передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
  • обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
  • блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;
  • удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
  • уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники.

Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение.

Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России.

Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников.

Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1.обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2.в отсутствие согласия обработка допускается в строго определенных законом случаях.

Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3.она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека.

Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы.

Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу.

Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности. 

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/sposoby-obrabotki-personalnykh-dannykh/

Роскомнадзор – Характерные ошибки при оформлении Уведомлений по обработке персональных данных

Смешанная обработка персональных данных

Характерные ошибки при оформлении Уведомлений по обработке персональных данных

В ходе рассмотрения представленных в Управление Роскомнадзора по Северо-Кавказскому федеральному округу уведомлений об обработке персональных данных выявлены следующие типичные ошибки при  заполнении полей:

«Наименование (фамилия, имя, отчество), адрес оператора»

Типичные ошибки в данном случае:  не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН, несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

«Правовое основание обработки персональных данных»

Операторы не указывают соответствующие статьи и номер закона или иного нормативно-правового акта, регулирующих осуществляемый вид деятельности и касающихся обработки персональных данных.

«Цель обработки персональных данных»

Необходимо указать как цели, указанные в учредительных документах (уставе, учредительном договоре, положении) оператора, так и цели, фактически осуществляемой оператором деятельности.

Например:

–    «осуществление полномочий органа власти по ….»

–    «выполнение государственных функций по ….»

–    «оказание государственных (муниципальных) услуг по …»

–    «оказание (предоставление) услуг по ….»

–    «выполнение работ по ….»

–    «осуществление … деятельности …»

Соответствующие виды деятельности отражаются в общероссийских классификаторах услуг, видов деятельности (ОКУН, ОКВЭД) и т.д.

«Категории персональных данных»

Операторы зачастую указывают фразы типа «и др.», «и т.п.» «другая информация».

  Необходимо указывать все конкретные категории, например: фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение,
образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни; биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность – данные изображения отпечатка пальца,  изображения лица, изображения радужной оболочки глаза и т.д.).

«Категории субъектов, персональные данные которых обрабатываются»

Операторы указывают не все категории субъектов, при этом из текста уведомления видно, что обрабатываются данные других категорий.

Например:  работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.

«Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Операторы не указывают конкретный перечень действий с персональными данными; конкретные способы обработки:

–   неавтоматизированная обработка персональных данных;

–   исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

–   смешанная обработка персональных данных с передачей полученной информации по сети или без таковой.

Наиболее частая ошибкаотсутствие либо нечеткое указание на порядокпередачи  информации при смешанной и (или) автоматизированнойобработке.

Необходимо четко указать соответствующие варианты:

–   «информация передается по внутренней сети юридического лица»

–   «информация не передается по внутренней сети юридического лица»

–   «информация доступна лишь для строго определенных сотрудников»

–   «информация передается с использованием сети общего доступа Интернет»

–   «без передачи полученной информации»

«Описание мер, которые оператор обязуется осуществлять
при обработке персональных данных, по обеспечению безопасности
персональных данных при их обработке»

При заполнении данного поля уведомления либо вообще отсутствует
описание мер, либо нет их четкого раскрытия.

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств  для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке. К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

–   защита от несанкционированного физического доступа к информации
(хранение персональных данных в закрытых шкафах, ящиках, сейфах),

–   защита паролем компьютеров с персональными данными,

–   использование системы паролей при работе в сети (портале)

–   ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях.

«Дата начала обработки персональных данных»

Операторы не указывают дату вообще. Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными.

 «Срок или условие прекращения обработки персональных данных»

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных –   например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности»

Источник: https://26.rkn.gov.ru/directions/pd/p10701/p13363/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.