Статья на тему Защита персональных данных в России

Фрагмент текста работы:

Указание на то, что защите информации о физическом лице необходимо уделять должное внимание, можно найти в Конституции РФ. Норма, согласно которой сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается содержится в Статье 24 фундаментального документа. Меры защиты персональных данных подробно расписаны во множестве уточняющих это утверждение правовых актов .

В Российской Федерации уже заложена основа безопасности персональных сведений, однако разработка и внедрение комплексного подхода к ее обеспечению продолжается. В идеале в стране должна быть создана правовая система, которая объединяет требования законодательства РФ к хранению, обработке и передаче персональных данных граждан.

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон) .

Существует классификация персональных данных. Их подразделяют на:

• общедоступные;

• специальные;

• биометрические;

• иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр.

Сегодня похищение персональных данных становится все более частым явлением, которое, возможно, больше известно под названием фишинг. Фишеры (мошенники, которые охотятся за конфиденциальной информацией пользователей интернета) постоянно применяют новые и усовершенствованные схемы мошенничества. Поэтому, количество жертв фишинговых атак также постоянно увеличивается. В частности, чаще всего используется рассылка писем на электронную почту или смс-сообщений с вирусными файлами или ссылками на мошеннические сайты. Как только жертва открывает сообщение, на его устройстве незаметно устанавливается вирусная программа, которая считывает всю конфиденциальную информацию, в том числе пароли и логины от различных аккаунтов, начиная от социальных сетей и заканчивая профилями в интернет-банкингах или других платежных системах .

Поскольку факторы, по которым можно идентифицировать лицо, постоянно модифицируются, а также меняется их количество, то конкретного перечня на законодательном уровне не установлено. Однако устоявшиеся определенные элементы, которые при любых обстоятельствах причисляют к персональным данным. Персональные данные перечень:

имя, фамилия, отчество лица;

биометрические данные;

серия и номер паспорта;

идентификационный код;

дату рождения, адрес проживания, место рождения;

телефон, адрес электронного ящика;

сведения о состоянии здоровья;

информация о кредитной истории;

социальное положение, семейное и материальное положение;

фото и видео материалы, где изображено данное лицо или на которые лицо имеет авторские права.

Девять правил, которые защитят от кражи персональных данных

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных. Такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц .

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

 непосредственно;

 с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока непонятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — непонятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп? )

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека .

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Меры по защите персональных данных сотрудников

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно .

При этом важно, чтобы:

 перечень персональных данных строго соответствовал тому, что передается в банк;

 была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Отметим, что это еще далеко не полный список, ведь он постоянно обновляется. Однако, если брать каждый выше перечисленный элемент отдельно, то такая информация не подпадает под понятие «персональные данные», то есть, одна только фамилия и только имя лица не считается персональными данными и конфиденциальной информацией. Чтобы получить такой статус, сведения должны быть структурированы, упорядочены и помещены в соответствующую базу данных в электронном формате или форме картотеки в соответствии с категорией.