Доступ к персональным данным законодательство и практика
Novie-adresa.ru

Строительный портал

Доступ к персональным данным законодательство и практика

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Судебная практика и законодательство — 152-ФЗ О персональных данных. Статья 14. Право субъекта персональных данных на доступ к его персональным данным

В случае, если в служебные обязанности сотрудников органов внутренних дел Российской Федерации и должностные обязанности федеральных государственных гражданских служащих, замещающих данные должности, входит обработка персональных данных либо осуществление доступа к персональным данным, либо если сотрудники органов внутренних дел Российской Федерации и федеральные государственные гражданские служащие, замещающие эти должности, реализуют права субъектов персональных данных в соответствии со статьей 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.

2.1. В защищаемые помещения допускаются федеральные государственные гражданские служащие, в должностные обязанности которых входит обработка персональных данных (далее – защищаемая информация) либо осуществление доступа к защищаемой информации, а также субъекты персональных данных в соответствии со статьей 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (далее – субъекты персональных данных).

Обращения и запросы субъектов персональных данных или их представителей, поданные в соответствии со ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”, направляются лицу, ответственному за организацию обработки персональных данных в центральном аппарате (территориальном органе) Службы.

7.1. К работе с персональными данными допускаются работники, замещающие должности федеральной государственной гражданской службы ФССП России, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, а также работники, реализующие права субъектов персональных данных в соответствии со статьей 14 Федерального закона “О персональных данных”.

Обращения и запросы субъектов персональных данных или их представителей, поданные в соответствии со ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных”, направляются лицу, ответственному за организацию обработки персональных данных в центральном аппарате (территориальном органе) Службы”.

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”;

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”;

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”;

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”;

20. Участник ЕГЭ, а также его родители (законные представители) имеют право на получение сведений об операторе ФБД ЕГЭ (РБД ЕГЭ), о месте его нахождения, о наличии у оператора ФБД ЕГЭ (РБД ЕГЭ) персональных данных участника ЕГЭ, а также на ознакомление с такими персональными данными, за исключением случаев, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451).

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Читать еще:  Как узнать снилс физического лица по паспорту

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Читать еще:  Как рассчитать командировочные если работник только устроился

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Как соблюсти требования 152-ФЗ, защитить персональные данные своих клиентов и не наступить на наши грабли

По российским законам любая компания, работающая с личными данными своих пользователей в России, становится оператором ПДн, хочет она того или нет. Это накладывает на нее ряд формальных и процедурных обязательств, которые не каждый бизнес может или хочет нести самостоятельно.

Как показывает практика – совершенно правильно не хочет, потому что эта область знаний еще настолько новая и не обкатанная на практике, что сложности и вопросы возникают даже у профессионалов. Сегодня мы расскажем о том, как реализовывали проект под хранение персональных данных для нашего заказчика и с какими неочевидными сложностями столкнулись.

Как мы помогали защитить данные по 152-ФЗ

В начале 2019 года к нам обратилась компания ООО «Смарт-Сервис», разработчик платформы для управления сервисным обслуживанием HubEx и приложения для обмена контактами myQRcards.

Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин. Второе – онлайн-конструктор для создания электронных визитных карточек на базе QR-кодов.


Онлайн-визитка myQRcards.

Обе системы хранят и обрабатывают данные пользователей, подпадающие под классификацию «персональных» в соответствии с 152-ФЗ. В этом случае закон диктует ряд ограничений к системам хранения таких персональных данных для того, чтобы обеспечить требуемый уровень их защищенности и исключить риск несанкционированного доступа с целью хищения или неправомерного использования.

Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

КАК УСТРОЕНО ЗАЩИЩЕННОЕ ОБЛАКО

Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:

  • доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
  • серверы хранения и обработки данных должны находиться под постоянным мониторингом антивирусной защитой на отсутствие уязвимостей;
  • СХД должен быть расположен в изолированных сетях.

Мы размещаем серверные мощности заказчика в отдельных зонах, удовлетворяющих требованиям 152-ФЗ, и помогаем получить заключение о соответствии.


Архитектура защищенной виртуальной инфраструктуры для ООО «Смарт Сервис».

Ход работ

Первично согласование работ было произведено в июне 2019 года, что можно считать датой начала проекта. Все работы должны быть производиться на «живом» окружении с тысячами запросов в день. Естественно, требовалось выполнить проект, не прерывая штатный режим работы обеих систем.

Поэтому был составлен и согласован четкий план действий, разделенный на 4 этапа:

  • подготовка,
  • миграция,
  • тестирование и проверка в реальных условиях,
  • включение систем мониторинга и ограничения доступа.

На всякий случай мы предусмотрели процедуру восстановления в случае непредвиденной ситуации (DRP). По первоначальному плану работы не занимали много времени и ресурсов и должны были завершиться в июле 2019. Каждый из этапов предусматривал в конце полное тестирование сетевой доступности и функциональности систем.

Самым сложным этапом, в котором могло «что-то пойти не так», была миграция. Изначально мы планировали проводить миграцию путем переноса виртуальных машин целиком. Это был самый логичный вариант, поскольку он не требовал вовлечения дополнительных ресурсов для переконфигурирования. Казалось бы, что может быть проще vMotion.

Нежданно-негаданно

Однако, как обычно бывает на проектах в относительно новой области, случилось то, чего не ждали.

Поскольку каждая виртуальная машина занимает 500 — 1 000 ГБ, копирование таких объемов даже в рамках одного дата-центра заняло около 3-4 часов на каждую машину. Как итог, мы не уложились в отведенное временное окно. Это произошло по причине физических ограничений дисковой подсистемы при переносе данных в vCloud.

Баг используемой версии vCloud не позволил организовать Storage vMotion в отношении виртуальной машины с разными типами дисков, поэтому диски пришлось менять. В результате перенести виртуальные машины получилось, но это заняло больше времени, чем планировалось.

Второй момент, который мы не предусмотрели, — ограничения по перемещению кластера БД (Failover Cluster MS SQLServer). В результате пришлось перевести кластер в работу с одним узлом и оставить его за рамками защищенной зоны.

Примечательно: по до сих пор непонятной причине в результате переноса виртуальных машин рассыпался кластер приложений, и его пришлось собирать заново.

В результате первой попытки мы получили неудовлетворительное состояние систем и вынуждены были заново браться за планирование и проработку вариантов.

Попытка №2

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

Результативный исход и полезный урок

В итоге, совместными усилиями вместе с заказчиком удалось внести значительные изменения в существующую серверную инфраструктуру, что позволило повысить надежность и защищенность хранения ПДн, существенно снизить риски несанкционированного доступа к ним, получить аттестат выполнения требований к хранению — достижение, к которому пришли еще далеко не все разработчики аналогичного ПО.

В сухом остатке комплекс работ по проекту выглядел так:

  1. Организована выделенная подсеть;
  2. Суммарно мигрировано два кластера, состоящих из пяти виртуальных машин: Failover кластер баз данных (две виртуальные машины), Service Fabric кластер приложений (три виртуальные машины);
  3. Произведены настройки систем защиты и шифрования данных.

Выглядит вроде бы все понятно и логично. На практике же все оказывается немного сложнее. Мы еще раз убедились, что при работе с каждой отдельной задачей такого плана требуется высочайший уровень внимания к «мелочам», которые на поверку оказываются никакими не мелочами, а определяющими факторами успеха всего проекта.

Защита персональных данных: какие сведения не вправе разглашать бухгалтер

Автор: электронный журнал «Зарплата»

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Круг сведений о заработной плате

Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

– с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

Читать еще:  Как предъявить претензию за некачественный товар

– нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

– сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

– они стали известны работнику в связи с исполнением им трудовых обязанностей;

– уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Ссылка на основную публикацию
Adblock
detector