Главная » Социальная » Проблемы управления персональными данными. Как защитить свои данные Требования к информационным системам

Проблемы управления персональными данными. Как защитить свои данные Требования к информационным системам

С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

  • На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
  • Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
  • Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
  • Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
  • Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

  • Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
  • Добавим страницу «Соглашение об обработке персональных данных»
  • Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
  • Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
  • Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
  • Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
  • Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
  • Проконсультируем по любым возникшим вопросам

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных , как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафовать

Сумма штрафа

Персональные данные обрабатываются не в тех целях, на которое дано согласие

Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.

от 30 000 до 50 000 руб.

Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)

от 15 000 до 75 000 руб.

Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)

от 15 000 до 30 000 руб.

Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)

Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.

от 20 000 до 45 000 руб.

Нарушены условия защиты бумажных документов, содержащих персональные данные

Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.

от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
  • Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).

ТОП-5 нарушений, за которые штрафуют компании и руководителей

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:

1. Документы оставлены на столе

Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

2. Работнику не выдали документы с его персональными данными

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.

Штраф : для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).

Пример защиты персональных данных . Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.

3. Забыли обновить данные работника

Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.

4. Размещение личной информации в общедоступном месте

Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф : для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

5. Сообщение имени, адреса и телефона сотрудника третьим лицам

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

***

Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.

В частности, компания 1C-WiseAdvice:

  • включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
  • соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
  • добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
  • оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Связаться с экспертом

-> Дополнительно

Под условиями использования в панели следует понимать набор документов, регламентирующий использование провайдером персональных данных клиентов. Полный набор существующих условий отображается на странице → "Условия использования" .

При обновлении панели до версии 5.153 произойдёт автоматическая конвертация имеющихся ссылок из раздела "Настройки" → "Настройки бренда" → "Авторское право" на политику конфиденциальности и условия использования в документы раздела "Условия использования" . В разделе будет создано два обязательных условия (документа): "User agreement" и "Privacy policy" . Ссылки на документы не изменятся. Если в настройках бренда ссылки на политику конфиденциальности и условия использования не были указаны, то при обновлении конвертация не выполняется.

Условия могут быть двух типов:

  • политика конфиденциальности;
  • пользовательское соглашение;

Условия на стороне администратора

Параметры условия

Настройка условия выполняется на странице "Управление персональными данными" "Условия использования" → выделить условие → кнопка "Изменить" :

Редактирование документа

Тип условия - тип условия использования. Может принимать значения:

  • Политика конфиденциальности - согласие клиента с условием такого типа означает, что он принимает политику конфиденциальности провайдера;
  • Пользовательское соглашение - согласие клиента с условием такого типа означает, что он принимает условия пользовательского соглашения провайдера.

Название документа - локализованное наименование условия (документа). Отображается в полном списке существующих условий использования.

Описание условия - локализованное описание условия. Отображается на выбранных формах: опции "Отображать на форме регистрации" и "Отображать после авторизации".

Дата вступления в силу - дата вступления документа в силу. Условие не будет доступно клиентам, пока документ не вступил в силу.

Локализация - локализации, на которых доступен данный документ.

Обязательное согласие - флаг для принятия условия появится на форме после авторизации. Без согласия с таким условием невозможно продолжить работу в панели.

Отображать после авторизации - флаг будет отображаться для зарегистрированных пользователей при первой авторизации после внесения изменений в настройки конфиденциальности провайдера. Становится активным и блокируется для изменения, если активен флаг "Обязательное согласие".

Отображать в предупреждениях - флаг для отображения ссылок на документы над полями, где происходит указание персональной информации.

Журнал

Действия, совершённые пользователем и относящиеся к условиям использования персональных данных, логируются и отображаются в разделе "Управление персональными данными" "Журнал" :

Каждая запись в журнале содержит:

  • тип действия (согласие или отказ);
  • имя пользователя;
  • IP-адрес, с которого выполнялось действие;
  • дату и время действия.

Условия на стороне пользователя

Форма после авторизации

Все активные условия с включённой опцией "Отображать после авторизации" будут отображаться пользователя при первой авторизации после внесения изменений в настройки конфиденциальности.

Информация о сборе и обработке данных

В разделе "Настройки" "Настройки пользователя" пользователь может ознакомиться с документами о сборе и обработке персональных данных, с журналом согласий и отказов, а также запросить информацию об используемых персональных данных. Также пользователь может создать запрос на экспорт данных в CSV файл, удаление и ограничение использования персональных данных:

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

Скачать файл

Законодательство о персональных данных в Российской Федерации уже давно стало предметом бурных обсуждений среди практикующих юристов и бизнес-сообщества. Особую актуальность тематика персональных данных приобрела после ужесточения административной ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – "Закон о персональных данных"), в частности с вступлением с 01 июля 2017 г. в силу поправок в статью 13.11 КоАП РФ .

Корпоративная деятельность неразрывно связана с получением и обработкой персональных данных. Так, например, хозяйственное общество обязано предоставлять по запросу акционера документы общества, которые могут содержать в числе прочего персональные данные. Другим примером может быть раскрытие информации о крупных акционерах, членах совета директоров общества на официальном сайте компании, где могут фигурировать персональные данные. Наконец, обращение к родственникам с целью сбора и передачи обществу информации о юридических лицах, в которых заинтересованные лица, их супруги, родители, дети, полнородные и неполнородные братья и сестры и (или) их подконтрольные организации занимают должности.

Наиболее часто используемым основанием для обработки персональных данных является согласие субъекта. Вместе с тем оно требуется далеко не всегда. Закон о персональных данных предусматривает несколько исключений, когда получение согласия субъекта на обработку персональных данных не требуется. Эти исключения предусмотрены в статье 6 Закона о персональных данных, которая содержит условия обработки таких данных.

В сфере корпоративного управления наиболее часто используются следующие два исключения, когда при обработке персональных данных согласие субъекта не требуется:

1) Обработка персональных данных, подлежащих раскрытию или опубликованию по закону (подп. 11 ч. 1 ст. 6);

2) Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6).

Обработка персональных данных, подлежащих раскрытию или опубликованию по закону

Чаще всего в рамках корпоративного управления персональные данные раскрываются в целях соблюдения требований законодательства. Так, например, персональные данные членов совета директоров раскрываются при публикации годовых отчетов акционерного общества в соответствии со статьей 92 Федерального закона от 26.12.1995 № 208-ФЗ "Об акционерных обществах" (далее – Закон об акционерных обществах). Сведения об аффилированных лицах акционерного общества раскрываются в соответствии с главой 73 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг . Члены совета директоров предоставляют акционерному обществу информацию о занятии ими, их супругами, родителями, детьми, братьями и сестрами, усыновителями или усыновленными должности в органах управления другого юридического лица согласно пункту 2 части 1 статьи 82 Закона об акционерных обществах. Возникает вопрос, нужно ли в данном случае получать согласие субъекта на обработку его персональных данных?

Здесь действует следующее правило: согласие субъекта персональных данных не требуется при соблюдении следующих условий:

1. Условие 1. Если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом ; или

2. Условие 2. Если обработка персональных данных необходима для осуществления и выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством Российской Федерации .

Указанные условия Закона о персональных данных идут "плечом к плечу", и можно смело говорить о том, что в отсутствие условия 1 оператор мог бы обрабатывать персональные данные, подлежащие обязательному опубликованию или раскрытию, руководствуясь условием 2, – т.е. для осуществления и выполнения функций, возложенных на него законодательством. Обратим, однако, внимание на то, что в отличие от условия 1, где речь идет о соблюдении федерального закона, в условии 2 используется понятие "законодательство Российской Федерации".Следовательно, в соответствии с данным условием возможна обработка персональных данных, если это предусмотрено как федеральными законами, так и постановлениями правительства, а также актами органов власти субъектов или органов местного самоуправления.

Таким образом, следует придерживаться простого правила: если обработка (в том числе предоставление, раскрытие) предусмотрена законодательством Российской Федерации, согласие субъекта персональных данных на такую обработку не требуется. Если обработка персональных данных не предусмотрена законодательством или обработка происходит в объеме большем, чем предусмотрено законодательством, на такую обработку потребуется согласие субъекта.

Разберем данное правило на простых примерах.

Раскрытие сведений о членах совета директоров акционерного общества

Публичные общества, а также непубличные общества с числом акционеров более 50 обязаны раскрывать годовой отчет в соответствии со статьей 92 Закона об акционерных обществах.

Пример 1. Общество раскрыло на своей странице в сети Интернет краткие биографические данные членов совета директоров в объеме, предусмотренном пунктом 70.3 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг (год рождения, сведения об образовании, сведения об основном месте работы).

Согласие членов совета директоров на данное раскрытие информации не требуется, т.к. такое раскрытие предусмотрено законодательством.

Пример 2. Общество раскрыло на своей странице в сети Интернет данные о семейном положении членов совета директоров.

На данное раскрытие требуется согласие членов совета директоров, т.к. такое раскрытие не предусмотрено законодательством.

По общему правилу, для публикации фотографий членов совета директоров требуется согласие, т.к. такая публикация не является обязательной в соответствии с требованиями законодательства. Однако есть обстоятельства, при которых согласие не требуется. Такие обстоятельства указаны в статье 152.1 Гражданского кодекса Российской Федерации, а именно: использование изображения в государственных, общественных или иных публичных интересах; изображение гражданина получено при съемке в местах, открытых для свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования; гражданин позировал за плату.

При этом отсутствие необходимости получения согласия субъекта не означает, что все требования законодательства при обработке персональных данных соблюдены. Общие принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных, должны соблюдаться. К таким принципам относится, в частности, соответствие содержания и объема персональных данных заявленным целям обработки. Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, если цель обработки персональных данных – соответствие требованиям по раскрытию информации, то раскрытие данных, не предусмотренных законом, уже не будет соответствовать заявленной цели.

Если, исходя из изложенного выше правила, требуется получать согласие субъекта на обработку его персональных данных, можно использовать форму согласия, приведенную ниже .

Согласие на обработку персональных данных

Я, [ФИО субъекта], паспорт серии [●] номер [●], выдан [●], зарегистрированный по адресу [●], даю согласие [наименование общества – оператора персональных данных], расположенному по адресу [●], на обработку, а именно на [конкретизировать действия с персональными данными, например, сбор, запись, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение] следующих персональных данных:

[перечислить персональные данные, на обработку которых дается согласие, для Примера 2 и Примера 3 выше это данные о семейном положении и фотография]

с целью [указать цели обработки персональных данных; в указанных примерах это может быть размещение указанных персональных данных в сети Интернет на определенном сайте.]

Я проинформирован (-на) о том, что указанные выше персональные данные могут обрабатываться как автоматизированным, так и не автоматизированным способами обработки.

Согласие на обработку персональных данных дано на срок [указать срок; в указанных выше примерах это может быть срок, на который назначен член совета директоров].

Согласие на обработку персональных данных может быть отозвано на основании письменного обращения субъекта персональных данных с требованием к оператору о прекращении обработки персональных данных.

___________________

(Ф.И.О. полностью, подпись)

Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6 Закона о персональных данных)

Обработка персональных данных при предоставлении акционерам доступа к документам. Вопрос об обработке персональных данных встает и в случае, когда речь идет о предоставлении персональных данных акционерам/участникам общества в соответствии со ст. 91 Закона об акционерных обществах и ст. 50 Закона об обществах с ограниченной ответственностью. В частности, когда запрос акционера/участника связан с предоставлением персональных данных физических лиц, входящих в органы управления юридического лица, или лиц, вступивших в правоотношения с таким обществом.

В данном случае доступ к документам предоставляется с учетом позиций, изложенных в Информационном письме ВАС РФ от 18.01.2011 № 144 (далее – Письмо). Письмо предусматривает, что участник хозяйственного общества вправе получать информацию о физических лицах, вступивших в правоотношения с таким обществом, если это необходимо для защиты им своих прав и законных интересов. Речь идет, например, о случаях оспаривания участником сделки, заключенной обществом, либо предъявления иска члену совета директоров или генеральному директору с требованием о возмещении причиненных обществу убытков. В таких случаях заявитель вправе запрашивать у общества информацию и документы, содержащие в числе прочего персональные данные физических лиц, необходимые для обращения в суд, со ссылкой на пункт 7 часть 1 статьи 6 Закона о персональных данных.

Позиция, выработанная ВАС РФ, находит свое применение на практике. Так, арбитражный суд Дальневосточного округа признал незаконным отказ налогового органа предоставить копии документов из регистрационного дела по запросу конкурсного управляющего должника . Одним из оснований для отказа стало то, что документы по запросу конкурсного управляющего содержали в себе персональные данные учредителей компании. Отказ налогового органа был признан судом незаконным со ссылкой на то, что обработка персональных данных в данном случае необходима для осуществления прав и законных интересов оператора или третьих лиц. В частности, согласно законодательству о банкротстве конкурсный управляющий исполняет обязанности руководителя должника и действует на основании и во исполнение судебного акта о признании должника несостоятельным (банкротом). В силу этого непредставление по запросу конкурсного управляющего сведений, содержащих среди прочего персональные данные, будет являться нарушением, так как препятствует сбору сведений о должнике и, как следствие, реализации конкурсным управляющим предоставленных законодательством о банкротстве специальных полномочий.

В другом деле арбитражный суд Западно-Сибирского округа признал незаконным отказ налогового органа в предоставлении протокола общего собрания общества с ограниченной ответственностью по причине нарушения прав субъектов персональных данных. Речь шла о предоставлении протокола, содержащего в себе паспортные данные физического лица, который не давал согласия на признание сведений о себе общедоступными. На этом основании налоговый орган ответил отказом, ссылаясь на пункт 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (далее – Закон о государственной регистрации). Согласно Закону о государственной регистрации сведения и документы, содержащиеся в реестре, являются открытыми и общедоступными, за исключением сведений с ограниченным доступом (абз. 2 п. 1 ст. 6 Закона о государственной регистрации). В соответствии с ограничениями законодательства о государственной регистрации данные документа, удостоверяющего личность, могут быть предоставлены лишь по запросу органов государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Однако данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц .

Изначально такое ограничение по предоставлению информации и копий документов из реестра было установлено в целях защиты сведений от посягательств лиц, не имеющих никакого отношения к обществу. В случае же, когда речь идет о предоставлении заявителю документов (включая протоколы общего собрания) общества, участником которого он является, основания для отказа отсутствуют. В связи с этим при обращении с запросом информации или корпоративных документов следует, прежде всего, учитывать характер запрашиваемой информации (документа); субъектный состав участников правоотношений; доказательства нарушения прав субъектов персональных данных или отсутствие таких нарушений.

Обработка и условия передачи персональных данных работника. При обработке персональных данных сотрудников необходимо руководствоваться разъяснениями Роскомнадзора , которыми установлены следующие правила. Согласие сотрудника на обработку его персональных данных не требуется при соблюдении следующих критериев:

(а) объем данных для обработки соответствует установленным законодательством пределам;

(б) цель обработки данных сотрудника не противоречит трудовому или иному специальному законодательству.

В разъяснениях Роскомнадзора прямо сказано, что согласие работника не требуется при обработке персональных данных в случаях, установленных трудовым договором, коллективным договором или иными правилами внутреннего трудового распорядка. Однако это не означает, что в локальные нормативные акты (далее – ЛНА) можно транслировать все что угодно. Главной задачей здесь является принятие ЛНА в порядке, установленном отраслевым законодательством, и отсутствие противоречий с принципами и положениями действующего трудового законодательства. Только если обработка ПД осуществляется в соответствии с надлежаще разработанными ЛНА и цели обработки соответствуют действующему трудовому законодательству, получать согласие работника нет необходимости.

На практике существует достаточно много примеров, когда работодатель может осуществлять обработку персональных данных без получения согласия сотрудника . Как правило, речь идет о случаях, когда обработка персональных данных необходима для выполнения работодателем, выступающим в качестве оператора, обязанностей, предусмотренных законодательством. В частности, если речь идет об образовательном учреждении, то законодательством предусмотрено, что на его сайте должна размещаться и обновляться информация, включающая в себя в числе прочего персональные данные сотрудников . Например, фамилию, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, информация о персональном составе педагогических (научно-педагогических) работников.

Правила о получении согласия работника на обработку его персональных данных не применяются , когда речь идет о передаче персональных данных третьим лицам в целях предотвращения угрозы для жизни или здоровья сотрудника. Кроме того, трудовое законодательство предусматривает передачу персональных данных сотрудника в Пенсионный фонд и Фонд социального страхования без согласия работника со ссылкой на ст. 22 Трудового кодекса Российской Федерации. Наконец, законодательство предусматривает передачу персональных данных сотрудника без его согласия в налоговые органы, профсоюзы и военные комиссариаты или по мотивированному запросу прокуратуры и правоохранительных органов .

Анализ изложенных выше примеров и комментариев законодательства позволяет предложить следующие рекомендации при обработке персональных данных в сфере корпоративного управления.

Во-первых, руководствоваться правилом о том, что если обработка персональных данных предусмотрена законодательством, то согласие субъекта на обработку не требуется. Вместе с тем оператору персональных данных следует проверять и соблюдать, в каком объеме законодательство предусматривает раскрытие персональных данных. В противном случае может потребоваться согласие на обработку.

Во-вторых, операторам рекомендуется обращать внимание на принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных. Одним из принципов, на который стоит обратить особое внимание при обработке – соответствие содержания и объема персональных данных заявленным целям обработки. Велика вероятность, что такие принципы будут толковаться в пользу субъекта персональных данных как более слабой и уязвимой стороны по сравнению с оператором.

В-третьих, при обращении акционера/участника общества с запросом об ознакомлении с документами общества, которые могут содержать персональные данные, следует учитывать характер и объем запрашиваемой информации/документа, а также статус лица, направившего запрос.

Наконец, общей рекомендацией может быть предварительно оценивать риски нарушения прав акционеров/участников общества при отказе в предоставлении информации/документов с одной стороны и риски нарушения прав субъектов персональных данных при раскрытии информации/документов, содержащих эти данные. Попытка оценить риски и взвесить плюсы и минусы в случае отказа или раскрытия персональных данных в корпоративном управлении позволит оператору персональных данных избежать ответственности или как минимум выбрать меньшее из зол.

Координационный центр доменов.ru/.рф совместно с «Фондом развития интернет» и Федеральным институтом развития образования выпустили второе издание учебно-методического пособия «Практическая психология безопасности: управление персональными данными в Интернете».

Пособие посвящено повышению цифровой компетентности школьников и учителей в сфере управления персональными данными в Интернете. В нем проанализированы теоретические и методические аспекты проблемы защиты частной жизни и персональных данных в сети.

Пособие предназначено в первую очередь для учителей средних школ, но оно будет полезно и интересно и для других работников системы образования, полагают авторы издания.

Пособие состоит из десяти уроков, которые рассказывают, что такое персональные данные, как они попадают в Сеть, почему ими нужно управлять и как их можно защитить. Раскрываются вопросы приватности и личных границ, управления репутацией в Интернете, объясняются способы удаления ПД. Для каждого урока предусмотрено выполнение упражнений, предложены темы для обсуждения, методика оценки результата, прилагаются необходимые дополнительные материалы.

Как отмечается в предисловии к пособию, «по данным ряда опросов, больше половины россиян не знают о своих правах в Интернете. И в целом по стране индекс цифровой грамотности в области безопасного использования информационных технологий остается довольно низким - 4,86 (из 10 возможных)».

«Цель нашего пособия - донести до российских учителей и их учеников необходимость защиты личной информации и доступно объяснить правила безопасного управления личной информацией в Интернете», - сообщил директор КЦ Андрей Воробьев.

В подготовке пособия активное участие приняла Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), отмечают в КЦ.

«В наше время личная информация о детях появляется в Сети разными путями: ее выкладывают сами юные пользователи, их родители и друзья. Но это всего лишь полбеды: как показывает практика, значительная часть информации о несовершеннолетних пользователях оказывается результатом неправильного обращения с персональными данными в образовательных учреждениях», - отметила в предисловии к изданию заместитель руководителя Роскомнадзора и один из авторов пособия Антонина Приезжева.

Основными источниками угроз в киберпространстве являются хищение персональных данных при помощи фишинга, использования пользователями «серых» мобильных приложений и незащищенных каналов коммуникаций, сообщила заместитель руководителя Роскомнадзора Антонина Приезжева на открытии Международного форума по кибербезопасности (Cyber Security Forum-2017).

Открытые источники хранения персональных данных, геолокационные сервисы также могут представлять собой угрозу для утечек личных данных, а повсеместная практика принятия условий пользовательского соглашения «по умолчанию» лишь облегчает задачу злоумышленникам,

По мнению Приезжевой, большинство из рассматриваемых угроз возможно нивелировать путём повышения уровня информированности о правах и обязанностях всех участников процесса обработки персональных данных, уделяя особое внимание субъектам персональных данных.

Для достижения вышеуказанных целей Роскомнадзором определены приоритетные задачи: стимулирование добросовестного поведения в Сети и совершенствование механизмов регулирования области персональных данных, в т.ч. применение механизмов саморегулирования.

Для выявления, пресечения и предотвращения негативных последствий этих угроз необходимо внедрение комплексного системного подхода, который был разработан и презентован Роскомнадзором как «Стратегия информационно-публичной деятельности Уполномоченного органа на период до 2020 года».

Показатели эффективности Стратегии:

  • повышение правовой грамотности населения Российской Федерации: ежегодное увеличение на 0,2-0,5% показателя числа респондентов, подтвердивших знание своих прав и законных интересов как субъектов персональных данных в ходе соответствующих социологических исследований;
  • снижение с 70 до 40% показателя общего числа нарушений в области персональных данных;
  • пропаганда образа жизни, направленного на бережное отношение к личным данным среди несовершеннолетних, в том числе, посредством создания молодежного медийного пространства: увеличение с 0,1 до 1% доли несовершеннолетних, вовлеченных в мероприятия реализации стратегии;
  • повышение качества образовательного аспекта в области ПД путем развития неформального и самостоятельного образования: повышение с 2% до 15% доли операторов, воспользовавшихся ресурсами неформального образования;
  • развитие международного взаимодействия и сотрудничества;
  • ежегодное снижение на 2% доли выявленных инцидентов в области персональных данных по сравнению с предшествующим периодом.

Скачать учебно-методическое пособие «Практическая психология безопасности: управление персональными данными в Интернете» можно по нижеследующей ссылке (.zip, ~ 4.5 Мб):

См. также .



Просмотров

Вкусная гречка на гарнир Гречневая каша на гарнир рецепт
Вкусная гречка на гарнир Гречневая каша на гарнир рецепт
Кредит военнослужащим по контракту сбербанк
Кредит военнослужащим по контракту сбербанк
Приснился во сне друг. Сонник. друг – все толкования. Что значит во сне Друг
Приснился во сне друг. Сонник. друг – все толкования. Что значит во сне Друг
Дарий III: биография Дарий 3 краткая характеристика
Дарий III: биография Дарий 3 краткая характеристика
Белла Ахмадулина — интересные факты из жизни поэтессы Мужья и дети беллы ахмадулиной
Белла Ахмадулина — интересные факты из жизни поэтессы Мужья и дети беллы ахмадулиной
 Начертательная геометрия
 Начертательная геометрия