Решением ФСТЭК России от 16 ноября 2009 г была снята пометка «для служебного пользования» с 2-х оставшихся методических документов и теперь все «четверокнижие» размещено на официальном сайте ведомства в разделе Специальные нормативные документы
С учетом того, что Методические документы ФСБ РФ уже давно размещены в открытом доступе на сайте Роскомнадзора, теперь вся нормативно-методическая база, регламентирующая защиту персональных данных, доступна для всех желающих.
Таким образом, мы наблюдаем позитивную тенденцию к открытости "закрытых" органов. Теперь операторам персональных данных будет легче разобраться в хитросплетениях законодательства по ПДн или хотя бы убедиться в том, что без специалистов им не обойтись.
понедельник, 30 ноября 2009 г.
пятница, 13 ноября 2009 г.
А может все-таки перенесут сроки...
Споры вокруг закона о персональных данных разгораются с новой силой.
6 ноября у заместителя Министра связи и массовых коммуникаций Российской Федерации Алексея Солдатова состоялось совещание по вопросам гармонизации законодательства в сфере персональных данных. Обсуждались предложения в проект федерального закона «О внесении изменений в Федеральный закон «О персональных данных», в том числе о переносе срока реализации настоящего Закона, который истекает 01.01.2010 года .
Мнения разделились: одни за перенос сроков реализации закона, другие против. Несмотря на все эти коллизии ясно то, что если сроки перенесут на 2 года (есть такие предложения), то операторы ПДн вздохнут с облегчением и вспомнят о проблеме ПДн только перед 01.01.2012 года. Т.е. по сути это не решит проблему, а лишь отсрочит ее на некоторое время. Поэтому позволю себе согласиться с представителями Роскомнадзора, которые остаются на позиции противников переноса сроков.
6 ноября у заместителя Министра связи и массовых коммуникаций Российской Федерации Алексея Солдатова состоялось совещание по вопросам гармонизации законодательства в сфере персональных данных. Обсуждались предложения в проект федерального закона «О внесении изменений в Федеральный закон «О персональных данных», в том числе о переносе срока реализации настоящего Закона, который истекает 01.01.2010 года .
Мнения разделились: одни за перенос сроков реализации закона, другие против. Несмотря на все эти коллизии ясно то, что если сроки перенесут на 2 года (есть такие предложения), то операторы ПДн вздохнут с облегчением и вспомнят о проблеме ПДн только перед 01.01.2012 года. Т.е. по сути это не решит проблему, а лишь отсрочит ее на некоторое время. Поэтому позволю себе согласиться с представителями Роскомнадзора, которые остаются на позиции противников переноса сроков.
О переносе сроков на 1 год
20 октября 2009 года в Государственной Думе РФ состоялись Парламентские слушания по «Актуальным вопросам развития и применения законодательства о защите прав граждан при обработке персональных данных».
Участники представили конкретные предложения по гармонизации нормативно-правовой базы по защите персональных данных, в том числе о необходимости создания отраслевых стандартов. Наиболее острые обсуждения вызвал вопрос, касающийся переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных». Участники слушаний предлагали перенести установленный срок – 01.01.2010 г. на один год, мотивируя это решение неготовностью государственных органов к исполнению закона, необходимостью гармонизации нормативно-правовой базы и др.
Однако, Заместитель руководителя Роскомнадзора Роман Шередин, выступая перед участниками слушаний, подчеркнул, что не считает перенос срока необходимой мерой, которая поможет решить стоящие сегодня перед операторами персональных данных проблемы. (Подробнее о позиции Роскомнадзора на официальном сайте ведомства)
Одним словом, слушания оставили неоднозначное впечатление: причины переноса сроков существуют, но переносить "нельзя"))) Чем закончится эта кампания по переносу сроков пока неизвестно и что делать операторам персональных данных тоже неясно: если сроки не перенесут, придется нести отвественность за невыполнения требований; если выполнять существующие требования, вдруг поменяется нормативная база в сторону упрощения мероприятий по защите ПДн (такие предложения звучали на парламентских слушаниях), тогда окажутся напрасными излишние расходы.
Участники представили конкретные предложения по гармонизации нормативно-правовой базы по защите персональных данных, в том числе о необходимости создания отраслевых стандартов. Наиболее острые обсуждения вызвал вопрос, касающийся переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных». Участники слушаний предлагали перенести установленный срок – 01.01.2010 г. на один год, мотивируя это решение неготовностью государственных органов к исполнению закона, необходимостью гармонизации нормативно-правовой базы и др.
Однако, Заместитель руководителя Роскомнадзора Роман Шередин, выступая перед участниками слушаний, подчеркнул, что не считает перенос срока необходимой мерой, которая поможет решить стоящие сегодня перед операторами персональных данных проблемы. (Подробнее о позиции Роскомнадзора на официальном сайте ведомства)
Одним словом, слушания оставили неоднозначное впечатление: причины переноса сроков существуют, но переносить "нельзя"))) Чем закончится эта кампания по переносу сроков пока неизвестно и что делать операторам персональных данных тоже неясно: если сроки не перенесут, придется нести отвественность за невыполнения требований; если выполнять существующие требования, вдруг поменяется нормативная база в сторону упрощения мероприятий по защите ПДн (такие предложения звучали на парламентских слушаниях), тогда окажутся напрасными излишние расходы.
Куда обращаться при нарушении прав.
Недавно открытый портал о персональных данных от Роскомнадзора динамично развивается, появляется много интересной информации. На мой взгляд, особого внимания заслуживают новости и рубрика Ваши вопросы.
Вот например,
Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?
Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефона указаны на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети «Интернет» www.rsoc.ru.
Для гражданина в такой ситуации не нужно гадать куда обращаться, все предельно ясно. Надеюсь и в дальнейшем рубрика будет пополняться новыми вопросами/ответами и каждый участник оперативно найдет ответ на волнующий его вопрос.
Вот например,
Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?
Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефона указаны на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети «Интернет» www.rsoc.ru.
Для гражданина в такой ситуации не нужно гадать куда обращаться, все предельно ясно. Надеюсь и в дальнейшем рубрика будет пополняться новыми вопросами/ответами и каждый участник оперативно найдет ответ на волнующий его вопрос.
четверг, 15 октября 2009 г.
Методички ФСТЭК в открытом доступе
На сайте ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК) в разделе «Специальные нормативные документы» находятся два из четырех нормативно-методических документов в области персональных данных:
· Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
· Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Надо полагать, что факт появления их в открытом доступе говорит о том, что это финальная версия документов и все операторы ПДн могут их использовать в процессе защиты персональных данных.
Два оставшихся документа: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", насколько я понял, остаются в режиме ДСП и получить их можно у Регулятора по официальному запросу.
Не могу найти объяснения такому подходу, возможно есть какие-то веские обоснования, но на мой взгляд, было вполне логичным все 4 методических документа выложить на сайт. В условиях временных ограничений (2,5 месяца осталось всего), да и лицензиатов, возможно на всех не хватит, операторы ПДн самостоятельно могли бы проводить работы по защите ПДн или хотя бы провести предварительную оценку своих ИСПДн в соответствии с предъявляемыми требованиями.
· Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
· Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Надо полагать, что факт появления их в открытом доступе говорит о том, что это финальная версия документов и все операторы ПДн могут их использовать в процессе защиты персональных данных.
Два оставшихся документа: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", насколько я понял, остаются в режиме ДСП и получить их можно у Регулятора по официальному запросу.
Не могу найти объяснения такому подходу, возможно есть какие-то веские обоснования, но на мой взгляд, было вполне логичным все 4 методических документа выложить на сайт. В условиях временных ограничений (2,5 месяца осталось всего), да и лицензиатов, возможно на всех не хватит, операторы ПДн самостоятельно могли бы проводить работы по защите ПДн или хотя бы провести предварительную оценку своих ИСПДн в соответствии с предъявляемыми требованиями.
среда, 14 октября 2009 г.
Защита ПДн в РФ и Великобритании
Как-то летом нашел статью о том , как Управление по финансовым услугам Британии оштрафовало банкиров почти на 5 млн. долларов за нарушения в сфере защиты конфиденциальной информации клиентов. Были утрачены данные клиентов и этого оказалось достаточно для наказания, при этом жалоб на кражу средств со счетов или других инцидентов от клиентов не поступало.
Данная статья является ярким примером того, насколько отличаются подходы защиты ПДн в России и Великобритании. Технические тонкости законодательства и методики защиты ПДн рассматривать не будем и перейдем к принципиальным моментам.
Россия. Закон о персональных данных в России обязывает обеспечить защиту ПДн граждан всех операторов ПДн, независимо от их размера и формы собственности. Т.е. законодательство РФ направлено на предотвращение утечек ПДн и минимизации злоупотреблений с такими данными.
Великобритания. Практика защиты ПДн в Великобритании (аналогично в США) лишь рекомендует коммерческим структурам обеспечить защиту ПДн и до момента утечки данных проверок на соответствие адекватности защиты ПДн не проводится. После наступления инцидента нарушители подвергаются строгому наказанию, но для субъекта ПДн эти действия оказываются «несколько» запоздалыми, так как его права уже нарушены. Получается парадоксальная ситуация, когда суровость ответственности законодательств США и Великобритании нивелируется необязательностью выполнения мер защиты.
Мое мнение по данному вопросу таково: несмотря на некоторые недостатки в российском законодательстве о персональных данных, которые я надеюсь будут исправлены в процессе практического применения норм закона, выбран наиболее оптимальный подход защиты ПДн и не все модели развитых зарубежных стран подходят для копирования и применения в нашей стране.
Полный текст статьи
Данная статья является ярким примером того, насколько отличаются подходы защиты ПДн в России и Великобритании. Технические тонкости законодательства и методики защиты ПДн рассматривать не будем и перейдем к принципиальным моментам.
Россия. Закон о персональных данных в России обязывает обеспечить защиту ПДн граждан всех операторов ПДн, независимо от их размера и формы собственности. Т.е. законодательство РФ направлено на предотвращение утечек ПДн и минимизации злоупотреблений с такими данными.
Великобритания. Практика защиты ПДн в Великобритании (аналогично в США) лишь рекомендует коммерческим структурам обеспечить защиту ПДн и до момента утечки данных проверок на соответствие адекватности защиты ПДн не проводится. После наступления инцидента нарушители подвергаются строгому наказанию, но для субъекта ПДн эти действия оказываются «несколько» запоздалыми, так как его права уже нарушены. Получается парадоксальная ситуация, когда суровость ответственности законодательств США и Великобритании нивелируется необязательностью выполнения мер защиты.
Мое мнение по данному вопросу таково: несмотря на некоторые недостатки в российском законодательстве о персональных данных, которые я надеюсь будут исправлены в процессе практического применения норм закона, выбран наиболее оптимальный подход защиты ПДн и не все модели развитых зарубежных стран подходят для копирования и применения в нашей стране.
Полный текст статьи
четверг, 8 октября 2009 г.
Административный регламент проверок (проект)
Прошу прощения за небольшой перерыв, но ежегодный отпуск - это непременный атрибут деятельности любого человека))
За этот период в сфере защиты ПДн кардинальных изменений не произошло, но есть некоторые любопытные новости. Роскомнадзор открыл портал о персональных данных, который предназначен для размещения информации по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д.
Портал призван оказывать помощь как операторам персональных данных, так и гражданам: на портале можно задать вопрос, сформировать уведомление о намерении осуществлять обработку персональных данных в электронном виде, направить официальное обращение в Уполномоченный орган в электронном виде (правда у меня пока это не получилось))) и получить другую полезную информацию.
Меня же привлек "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором подробно расписано как будут осуществляться проверки операторов ПДн, основания проверок, список документов, запрашиваемых при проверке, полномочия проверяющих органов и многое другое.
На сегодняшний день данный документ имеет статус "проекта", но есть все основания полагать, что его утвердят до 01.01.2010 года. Поэтому операторам персональных данных полезно его изучить, чтобы лучше понимать о серьезности намерений государственных органов по наведению порядка в сфере защиты персональных данных граждан.
За этот период в сфере защиты ПДн кардинальных изменений не произошло, но есть некоторые любопытные новости. Роскомнадзор открыл портал о персональных данных, который предназначен для размещения информации по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д.
Портал призван оказывать помощь как операторам персональных данных, так и гражданам: на портале можно задать вопрос, сформировать уведомление о намерении осуществлять обработку персональных данных в электронном виде, направить официальное обращение в Уполномоченный орган в электронном виде (правда у меня пока это не получилось))) и получить другую полезную информацию.
Меня же привлек "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором подробно расписано как будут осуществляться проверки операторов ПДн, основания проверок, список документов, запрашиваемых при проверке, полномочия проверяющих органов и многое другое.
На сегодняшний день данный документ имеет статус "проекта", но есть все основания полагать, что его утвердят до 01.01.2010 года. Поэтому операторам персональных данных полезно его изучить, чтобы лучше понимать о серьезности намерений государственных органов по наведению порядка в сфере защиты персональных данных граждан.
среда, 16 сентября 2009 г.
Консультативный совет по ПДн
- На мой взгляд, довольно позитивная новость о создании Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных. Если данный орган активно и эффективно будет выполнять возложенные на него задачи есть шанс, что Регуляторы наконец то начнут исправлять недочеты и противоречия, существующие в текущей версии законодательства (это называется - гармонинизация законодательсва).
Руководитель Роскомнадзора Сергей Ситников 14 сентября подписал приказ «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных».
Консультативный совет – консультативно-совещательный орган, основными задачами которого, в частности, являются:
- гармонизация законодательства Российской Федерации в области защиты персональных данных с учетом общественного мнения и опыта правоприменительной практики;
- содействие распространению положительного опыта по организации защиты прав субъектов персональных данных;
- содействие формированию позитивного общественного мнения, способствующего созданию и развитию эффективной системы защиты прав субъектов персональных данных
- создание условий для повышения правового уровня и активной гражданской позиции общества.
Текст новости на сайте Роскомнадзора
пятница, 11 сентября 2009 г.
План проверок на 2010 год
Роскомнадзор опубликовал план проверок на 2010 год, в том числе по проверкам соблюдения обязательных требований в сфере обработки персональных данных. В соответствии с планом проверкам будут подвержены различные операторы персональных данных, относящихся к следующим отраслям: телекоммуникации, страховые компании, кредитно-финансовые организации, жилищно-коммунальные и другие. План проверок на сайте Роскомнадзора
В представленном плане много довольно известных организаций, в том числе государственных. Вот если бы Роскомнадзор ввел практику не только публиковать план проверок, а также отчеты по проведенным проверкам и не за год в виде общей статистики, а более детальную информацию: например, по отраслям - банки, страховые, медицина и т.д.; выявленные нарушения; принятые меры и т.п.
В представленном плане много довольно известных организаций, в том числе государственных. Вот если бы Роскомнадзор ввел практику не только публиковать план проверок, а также отчеты по проведенным проверкам и не за год в виде общей статистики, а более детальную информацию: например, по отраслям - банки, страховые, медицина и т.д.; выявленные нарушения; принятые меры и т.п.
вторник, 8 сентября 2009 г.
Проверки Роскомнадзора
На мой взгляд, будет также интересно отслеживать деятельность контролирующих органов в конкретных случаях.
Вот например, плановая проверка Росморречфлота. В июле 2009 года Управление Роскомнадзора по Москве и Московской области, совместно с Центральным аппаратом Роскомнадзора, ФСБ России и ФСТЭК России провело плановую проверку соблюдения законодательства в области обработки персональных данных Федерального агентства морского и речного транспорта. В ходе проверки был выявлен ряд нарушений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и что наиболее интересно для граждан - нарушения ч. 1 ст. 6 №152-ФЗ «О персональных данных» и ст. 88 Трудового кодекса Российской Федерации в части передачи персональных данных третьим лицам без согласия субъекта персональных данных на их обработку. Соответственно были выданы предписания об устранении нарушений.
Возможно, подобные проверки исправят ситуацию с ПДн граждан и операторы начнут обращаться с ней более ответственно. Впрочем, это произойдет не так быстро, как хотелось бы, если вообще произойдет.))
Вот например, плановая проверка Росморречфлота. В июле 2009 года Управление Роскомнадзора по Москве и Московской области, совместно с Центральным аппаратом Роскомнадзора, ФСБ России и ФСТЭК России провело плановую проверку соблюдения законодательства в области обработки персональных данных Федерального агентства морского и речного транспорта. В ходе проверки был выявлен ряд нарушений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и что наиболее интересно для граждан - нарушения ч. 1 ст. 6 №152-ФЗ «О персональных данных» и ст. 88 Трудового кодекса Российской Федерации в части передачи персональных данных третьим лицам без согласия субъекта персональных данных на их обработку. Соответственно были выданы предписания об устранении нарушений.
Возможно, подобные проверки исправят ситуацию с ПДн граждан и операторы начнут обращаться с ней более ответственно. Впрочем, это произойдет не так быстро, как хотелось бы, если вообще произойдет.))
воскресенье, 6 сентября 2009 г.
Как нас защищает государство
Несколько слов о том, что же делает государство по защите персональных данных граждан.
Как известно, уполномоченным государственным органом, выполняющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, является Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
По закону "О персональных данных" №152-ФЗ при нарушении прав в области обработки ПДн гражданин должен в первую очередь обращаться именно в данную службу.
ФЗ-152 "О персональных данных"
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
На основании обращения гражданина Роскомнадзор принимает решение о дальнейших шагах по защите прав субъекта ПДн:
ФЗ-152 "О персональных данных"
Статья 17. Право на обжалование действий или бездействия оператора
.....
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
По материалам опубликованных на сайте Роскомнадзора отчетов о деятельности уполномоченного органа за 2008 год и второй квартал 2009 года можно проанализировать первые результаты работ по защите прав субъектов ПДн.
"Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год"
..........
Во исполнение функции по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных территориальные органы Федеральной службы в 2008 году провели 76 мероприятий по контролю (надзору).
.........
За отчетный период в адрес Федеральной службы поступило 146 обращений граждан, из них дан ответ заявителям с соответствующими разъяснениями положений Федерального закона – в 60 случаях, в 86 обращениях граждане обжаловали действия конкретных операторов, осуществляющих обработку персональных данных с признаками нарушений требований Федерального закона. Из них направлены: в правоохранительные органы 5 обращений, в органы прокуратуры – 24, в суды – 22.
"Отчет о деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций во 2 квартале 2009 года"
............
В первом полугодии текущего года территориальными органами Роскомнадзора было проведено 205 проверок в отношении операторов, осуществляющих обработку персональных данных (далее – Оператор), из них 119 плановых и 86 внеплановых проверок.
..........
За первое полугодие 2009 года в Уполномоченный орган по защите прав субъектов персональных данных поступило 143 обращения...
По результатам рассмотрения обращений соответствующие материалы направлены:
в правоохранительные органы – 1; в органы прокуратуры – 31; в судебные органы - 8.
Таким образом, сравнивая количество обращений граждан в 2008 году и 2009 году, можно отследить тенденцию увеличения таких обращений (за первое полугодие 2009 года количество обращений поступило примерно столько же, сколько за весь 2008 год).
Данная статистика показывает, что правовая грамотность граждан растет, они знают свои права и активно их отстаивают, что внушает некоторый оптимизм, возможно со временем это принесет свои плоды и ситуация в стране изменится к лучшему, и не только в области защиты прав субъектов персональных данных.
Как известно, уполномоченным государственным органом, выполняющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, является Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
По закону "О персональных данных" №152-ФЗ при нарушении прав в области обработки ПДн гражданин должен в первую очередь обращаться именно в данную службу.
ФЗ-152 "О персональных данных"
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
На основании обращения гражданина Роскомнадзор принимает решение о дальнейших шагах по защите прав субъекта ПДн:
ФЗ-152 "О персональных данных"
Статья 17. Право на обжалование действий или бездействия оператора
.....
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
По материалам опубликованных на сайте Роскомнадзора отчетов о деятельности уполномоченного органа за 2008 год и второй квартал 2009 года можно проанализировать первые результаты работ по защите прав субъектов ПДн.
"Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год"
..........
Во исполнение функции по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных территориальные органы Федеральной службы в 2008 году провели 76 мероприятий по контролю (надзору).
.........
За отчетный период в адрес Федеральной службы поступило 146 обращений граждан, из них дан ответ заявителям с соответствующими разъяснениями положений Федерального закона – в 60 случаях, в 86 обращениях граждане обжаловали действия конкретных операторов, осуществляющих обработку персональных данных с признаками нарушений требований Федерального закона. Из них направлены: в правоохранительные органы 5 обращений, в органы прокуратуры – 24, в суды – 22.
"Отчет о деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций во 2 квартале 2009 года"
............
В первом полугодии текущего года территориальными органами Роскомнадзора было проведено 205 проверок в отношении операторов, осуществляющих обработку персональных данных (далее – Оператор), из них 119 плановых и 86 внеплановых проверок.
..........
За первое полугодие 2009 года в Уполномоченный орган по защите прав субъектов персональных данных поступило 143 обращения...
По результатам рассмотрения обращений соответствующие материалы направлены:
в правоохранительные органы – 1; в органы прокуратуры – 31; в судебные органы - 8.
Таким образом, сравнивая количество обращений граждан в 2008 году и 2009 году, можно отследить тенденцию увеличения таких обращений (за первое полугодие 2009 года количество обращений поступило примерно столько же, сколько за весь 2008 год).
Данная статистика показывает, что правовая грамотность граждан растет, они знают свои права и активно их отстаивают, что внушает некоторый оптимизм, возможно со временем это принесет свои плоды и ситуация в стране изменится к лучшему, и не только в области защиты прав субъектов персональных данных.
среда, 2 сентября 2009 г.
Как уберечь ПДн
В повседневной жизни персональные данные граждан используются в различных сферах деятельности: образование, медицинское обслуживание, сфера бытовых услуг, страхование, банковские услуги, юридические услуги, общественные организации и многое другое.
Совершая те или иные действия, мы предоставляем свои персональные данные по первому требованию, порой не задумываясь над тем, как они могут быть использованы в дальнейшем. Для минимизации рисков злоупотреблений с персональными данными гражданину необходимо знать основные положения законодательства и быть осмотрительнее при передаче своих личных данных.
Совершая те или иные действия, мы предоставляем свои персональные данные по первому требованию, порой не задумываясь над тем, как они могут быть использованы в дальнейшем. Для минимизации рисков злоупотреблений с персональными данными гражданину необходимо знать основные положения законодательства и быть осмотрительнее при передаче своих личных данных.
Полностью исключить возможность утраты и злоупотреблений с персональными данными человек не в силах, но минимизировать такие риски вполне возможно. Попытаемся разобраться, как вести себя в той или иной ситуации.
На что нужно обращать внимание при передаче своих персональных данных
- Какова цель сбора и обработки ПДн
Пример.
Нередки случаи, когда сбор персональных данных осуществляется без достаточных на то оснований. Например, при совершении покупки в магазине гражданину вовсе не обязательно называть Ф.И.О. и другие личные данные.
Права субъекта ПДн.
В случае сбора таких данных оператор ПДн по просьбе гражданина обязан объяснить цель обработки ПДн, основания, способы обработки и др. При отсутствии юридических оснований, обязывающих осуществлять сбор ПДн, гражданин вправе их не предоставлять.
Закон «О персональных данных» 152-ФЗ
«..Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные дан-ные..»
«..Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
……
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен та-кой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой об-работка его персональных данных..»
Нередки случаи, когда сбор персональных данных осуществляется без достаточных на то оснований. Например, при совершении покупки в магазине гражданину вовсе не обязательно называть Ф.И.О. и другие личные данные.
Права субъекта ПДн.
В случае сбора таких данных оператор ПДн по просьбе гражданина обязан объяснить цель обработки ПДн, основания, способы обработки и др. При отсутствии юридических оснований, обязывающих осуществлять сбор ПДн, гражданин вправе их не предоставлять.
Закон «О персональных данных» 152-ФЗ
«..Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные дан-ные..»
«..Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
……
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен та-кой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой об-работка его персональных данных..»
- Избыточный объем запрашиваемой информации
Пример.
Часто операторы ПДн запрашивают сведения, явно избыточные для выполнения заявленных целей обработки ПДн. Например, для оформления потребительского кредита на небольшую сумму не обязательно указывать количество поездок за границу или девичью фамилию матери.
Часто операторы ПДн запрашивают сведения, явно избыточные для выполнения заявленных целей обработки ПДн. Например, для оформления потребительского кредита на небольшую сумму не обязательно указывать количество поездок за границу или девичью фамилию матери.
Права субъекта ПДн.
Сбор избыточной информации противоречит принципам обработки ПДн, заложенным в законе «О персональных данных», и гражданин вправе отказаться от предоставления таких данных.
Закон «О персональных данных» 152-ФЗ
«..Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных..»
- Получение согласия гражданина на сбор и обработку его ПДн
Пример.
Оператор ПДн обязан получить согласие гражданина на сбор и обработку его персональных данных, в том числе от третьих лиц. Например, в своем почтовом ящике граждане часто обнаруживают письма от рекламных агентств, где указаны их Ф.И.О., адрес, телефон и др.
Права субъекта ПДн.
В этом случае гражданин имеет право требовать от рекламной фирмы, чтобы его ПДн были удалены из базы данных, а в случае отказа защищать свои права в судебном порядке.
Закон «О персональных данных» 152-ФЗ
«..Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных дан-ных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в сле-дующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработ-ке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого явля-ется субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обя-зательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральны-ми законами, в том числе персональных данных лиц, замещающих государственные должности, должности госу-дарственной гражданской службы, персональных данных кандидатов на выборные государственные или муници-пальные должности..»
«..Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согла-сие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоя-щей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательно-го предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституци-онного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства..»
«..Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической аги-тации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обра-ботка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персо-нальных данных, указанную в части 1 настоящей статьи..»
Оператор ПДн обязан получить согласие гражданина на сбор и обработку его персональных данных, в том числе от третьих лиц. Например, в своем почтовом ящике граждане часто обнаруживают письма от рекламных агентств, где указаны их Ф.И.О., адрес, телефон и др.
Права субъекта ПДн.
В этом случае гражданин имеет право требовать от рекламной фирмы, чтобы его ПДн были удалены из базы данных, а в случае отказа защищать свои права в судебном порядке.
Закон «О персональных данных» 152-ФЗ
«..Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных дан-ных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в сле-дующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработ-ке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого явля-ется субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обя-зательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральны-ми законами, в том числе персональных данных лиц, замещающих государственные должности, должности госу-дарственной гражданской службы, персональных данных кандидатов на выборные государственные или муници-пальные должности..»
«..Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согла-сие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоя-щей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательно-го предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституци-онного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства..»
«..Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической аги-тации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обра-ботка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персо-нальных данных, указанную в части 1 настоящей статьи..»
- Обработка ПДн с нарушениями требований законодательства
Пример.
Например, гражданин совершил покупку через интернет – магазин, предоставив свои персональные данные (Ф.И.О., адрес проживания, телефон). Эти данные в течение длительного времени оказались общедоступными для любого пользователя интернет.
Права субъекта ПДн.
В данном случае оператор ПДн не обеспечил защиту ПДн и гражданин вправе потребовать удалить его данные или обжаловать действия и бездействия оператора ПДн в судебном порядке.
Закон «О персональных данных» 152-ФЗ
«..Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъ-ект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возме-щение убытков и (или) компенсацию морального вреда в судебном порядке..»
Например, гражданин совершил покупку через интернет – магазин, предоставив свои персональные данные (Ф.И.О., адрес проживания, телефон). Эти данные в течение длительного времени оказались общедоступными для любого пользователя интернет.
Права субъекта ПДн.
В данном случае оператор ПДн не обеспечил защиту ПДн и гражданин вправе потребовать удалить его данные или обжаловать действия и бездействия оператора ПДн в судебном порядке.
Закон «О персональных данных» 152-ФЗ
«..Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъ-ект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возме-щение убытков и (или) компенсацию морального вреда в судебном порядке..»
Ответственность за нарушение требований законодательства
За нарушения обработки персональных данных физических лиц предусмотрены различные виды ответственности: гражданская, уголовная, административная, дисциплинарная и др.
Закон «О персональных данных» 152-ФЗ
«..Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность..»
вторник, 1 сентября 2009 г.
ПДн работника
Трудовые отношения между гражданином и работодателем являются наиболее распространенной формой обработки персональных данных физических лиц, права которых при этом нередко нарушаются. Все юридические основания защиты прав работника существуют, их необходимо знать и пользоваться при необходимости. Наряду с Конституцией РФ и Федеральным законом «О персональных данных», гарантирующих защиту прав и свобод человека и гражданина при обработке его персональных данных, основным документом по защите прав работника является Трудовой Кодекс РФ. В Главе 14 ТК РФ определены обязанности работодателя и права работника, касающиеся обработки персональных данных. Для отстаивания своих прав работнику необходимо знать основные вопросы сбора и обработки работодателем его персональных данных.
Нарушения прав работника при обработке его персональных данных.
- Получение избыточной информации о работнике
Пример. При приеме на работу работодатель стремится получить у сотрудника максимум информации, которая является избыточной для замещения соответствующей должности. Например, помимо необходимых сведений от работника требуют сообщить данные о членстве в общественных организациях, его политических и религиозных взглядах, фактах привлечения к уголовной ответственности и другой информации, не относящейся к трудовой деятельности работника.
Права работника. Работник вправе уточнить цель сбора дополнительной информации, дать согласие на ее обработку или отказаться от предоставления таких данных.
Трудовой кодекс РФ
«..Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения..»
- Получение ПДн работника у третьей стороны без его письменного согласия
Пример. Работодатель стремится получить о сотруднике максимум информации, в том числе у третьей стороны без согласия на это самого работника.
Права работника. В соответствии с законодательством персональные данные работника следует получать у него самого. Если какие-либо ПДн можно получить только у третьей стороны, то об этом работник должен быть уведомлен заранее и от него должно быть получено письменное согласие.
Трудовой кодекс РФ
«..Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
…
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение..»
- Передача ПДн третьим лицам без письменного согласия работника
Пример. Помимо случаев передачи ПДн работника, предусмотренных федеральными законами (например, передача данных в ПФР, ФНС и др.), передача ПДн третьим лицам осуществляется на основании письменного согласия работника. Например, использование персональных данных работника в рекламных (коммерческих) целях без его письменного согласия.
Права работника. При нарушении правил передачи ПДн третьим лицам работник вправе требовать от работодателя устранить нарушения, а в случае отказа обжаловать действия или бездействие работодателя в суде.
Трудовой кодекс РФ
«..Статья 88. Передача персональных данных работника
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами...»
- Отказ работнику в предоставлении информации о его ПДн
Пример. Работник в любой момент может получить от работодателя полную информацию о его персональных данных и обработке этих данных. Например, работник может потребовать исправить свои неверные данные.
Права работника. При отказе работодателя исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия, а при необходимости обжаловать действия или бездействие работодателя в судебном порядке.
Трудовой кодекс РФ
«..Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных".
- Нарушение правил обработки и защиты ПДн работника
Пример. Обработка персональных данных работника должна осуществляться в соответствии с общими требованиями, определяющими правила обработки и защиты ПДн. Например, доступ к персональным данным работника имеют лица, которые не уполномочены их обрабатывать, что увеличивает риск их неправомерного использования или утраты.
Права работника. Если работник считает, что защита его персональных данных не обеспечена и допускаются нарушения при их обработке он вправе требовать исправить ситуацию, а в случае отказа обжаловать действия или бездействие работодателя в суде.
Трудовой кодекс РФ
Статья 86 .
«..7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников..»
Статья 87. «..Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов..»
Статья 88. «.. разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций..»
Федеральный закон «О персональных данных» 152-ФЗ
«..Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий..»
Защита прав работника
Работник имеет право требовать от работодателя устранения нарушений при обработке его персональных данных, а в случае отказа – обжаловать действия или бездействие работодателя в судебном порядке.
Трудовой кодекс РФ
Статья 89. «..В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
…
обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных..»
Федеральный закон «О персональных данных» 152-ФЗ
«..Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке..»
Ответственность за нарушения обработки и защиты ПДн работника
Законодательством предусмотрена ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника.
Трудовой кодекс РФ «..Статья 90. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами..»
Федеральный закон «О персональных данных» 152-ФЗ «..Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность..»
Тематика блога
Гражданин - как субъект персональных данных
После принятия закона "О персональных данных" №152-ФЗ от 27.07.2006 г. не умолкают дискуссии по вопросам обеспечения безопасности обрабатываемых персональных данных физических лиц. В пылу споров о сроках выполнения требований законодательства, сложности и длительности задач по обеспечению защиты персональных данных, недостаточно внимания уделяется гражданину, субъекту ПДн, ради которого собственно все это и затевалось.
В последние годы участились случаи незаконного распространения и использования персональных данных граждан. Персональные данные можно обнаружить в Интернет, в печатных изданиях или за небольшую плату приобрести базы данных физических лиц, в которых содержится различная информация о человеке: Ф.И.О, адрес проживания, зарегистрированные автомобили и другое имущество, информация о доходах, данные о правонарушениях, судимостях и прочее. Можно только предполагать, какой ущерб такая информация может нанести ее владельцу, окажись она в руках злоумышленников: это возможность для шантажа; подрыв деловой или политической репутации; материальный, моральный, финансовый ущерб и т.п.
Попробуем взглянуть на проблему защиты персональных данных именно со стороны гражданина:
После принятия закона "О персональных данных" №152-ФЗ от 27.07.2006 г. не умолкают дискуссии по вопросам обеспечения безопасности обрабатываемых персональных данных физических лиц. В пылу споров о сроках выполнения требований законодательства, сложности и длительности задач по обеспечению защиты персональных данных, недостаточно внимания уделяется гражданину, субъекту ПДн, ради которого собственно все это и затевалось.
В последние годы участились случаи незаконного распространения и использования персональных данных граждан. Персональные данные можно обнаружить в Интернет, в печатных изданиях или за небольшую плату приобрести базы данных физических лиц, в которых содержится различная информация о человеке: Ф.И.О, адрес проживания, зарегистрированные автомобили и другое имущество, информация о доходах, данные о правонарушениях, судимостях и прочее. Можно только предполагать, какой ущерб такая информация может нанести ее владельцу, окажись она в руках злоумышленников: это возможность для шантажа; подрыв деловой или политической репутации; материальный, моральный, финансовый ущерб и т.п.
Попробуем взглянуть на проблему защиты персональных данных именно со стороны гражданина:
- какие права предоставляет гражданину закон о персональных данных;
- что делать, если права уже нарушены и как их лучше защищать;
- как минимизировать риск злоупотреблений с его персональными данными;
- другие аспекты защиты персональных данных граждан.
Законодательство, регуляторы, интеграторы и т.п.
В свете стремительно приближающейся даты окончания работ по защите персональных данных граждан, а это 01.01.2010 года, т.е. буквально 4 месяца, интересно будет также отслеживать новшества в законодательстве, деятельность регуляторов, контролирующих процесс, а также интеграторов, которые проводят работы по защите ПДн.
Подписаться на:
Сообщения (Atom)