Обязательные требования при обработке пДн без использования средств автоматизации

1. Наличие Правил обработки ПДн, осуществляемых без средств автоматизации (п.3 ППРФ от 15.09.2008 №687).

2. Наличие отдельных материальных носителей для каждой категории ПДн (п.4 и 5 ППРФ от 15.09.2008 №687).

3. Наличие типовых форм, в которых предполагается или допускается включение в них ПДн (п.7 ППРФ от 15.09.2008 №687).

4. Наличие и ведение журнала (реестра, книги) для пропуска субъекта ПДн на территорию оператора (п.8 ППРФ от 15.09.2008 №687).

5. Организация раздельного хранения категорий ПДн (п.14 ППРФ от 15.09.2008 №687).

6. Информирование сотрудников, обрабатывающих ПДн о Правилах их обработки (п.6 ППРФ от 15.09.2008 №687).

Лекция 18

Л12 ПОИБ

Обязательные требования по обработке и защите персональных данных в России

Вопросы:

1. Обязательные требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИС ПДн.

2. Обязательные требования по защите ПДн работника.

Литература:

1. Попов, Мигачёв.

2. Сёмкины.

3. ФЗ от 30.12.2001 №197-ФЗ «ТК РФ».

4. ПП РФ от 04.03.2010 №125 «О перечне ПДн, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане РФ осуществляют выезд из РФ и въезд в РФ».

5. ПП РФ от 06.08.2008 №512 «Об утверждении…».

6. Т.А. Кухаренко «ПДн» - 224 стр.

1.Обязательные требования к материальным носителям биометрических пДн и технологиям хранения таких данных вне ис пДн

1. Выполнение требований к материальному носителю биометрическому носителю ПДн, который должен обеспечивать (п.4 ПП РФ от 06.07.2008 №612):

   1. Защиту от несанкционированной повторной и дополнительной записи сведений после её извлечения из ИС ПДн.

   2. Возможность доступа к записанным на материальный носитель биометрическим ПДн только уполномоченным лицам.

   3. Возможность идентификации ИС ПДн, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществляющего такую запись.

   4. Невозможность НСД к биометрическим ПДн, содержащимся на материальном носителе.

2. Наличие утверждённого порядка передачи материальных носителей уполномоченным лицам (п.5 ПП РФ от 06.07.2008 №512).

3. Определение срока использования носителя (п.6 ПП РФ от 06.07.2008 №512).

4. Наличие учёта количества экземпляров материальных носителей и присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических ПДн на материальный носитель (п.8 ПП РФ от 06.07.2008 №512).

5. Наличие электронных цифровых подписей или иных информационных технологий при записи дополнительной информации, имеющей отношение к биометрическим ПДн (п.10 ПП РФ от 06.07.2008 №512).

6. Наличие требований хранения ПДн вне ИС ПДн (п.9, 11, 12 ППРФ от 06.07.2008 №512).

2.Обязательные требования по защите ПДн работника

Понятия

ПДн работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка ПДн работника – получение, хранение, комбинирование, передача или любое другое использование ПДн работника.

Цели обработки ПДн работника

1. Соблюдение законов и иных НПА.

2. Содействие работникам в трудоустройстве.

3. Обучение и продвижение по службе.

4. Обеспечение личной безопасности работников.

5. Контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

Персональные данные работника

Относятся:

1. Сведения о ПДн работника (анкеты).

2. Документы, где отражены сведения о ПДн работника (документы).

Обязательные требования по защите ПДн работника

1. Наличие письменного согласия получения ПДн работника (у него самого или от третьего лица) (п.3 ст.86 ТК РФ).

2. Отсутствие в ПДн работника о его политических, религиозных и иных убеждениях и частной жизни (п.4 ст.86 ТК РФ).

3. Наличие письменного согласия работника на получение и обрабатывание данных о его частной жизни (п.4 ст.86 ТК РФ).

4. Отсутствие у работодателя ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами (п.5 ст.86 ТК РФ).

5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения (п.6 ст.86 ТК РФ).

6. Наличие подписей работников (их представителей) об ознакомлении с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области (п.8 ст.86 ТК РФ).

7. Организация порядка хранения и использования ПДн работников (ст. 87 ТК РФ).

8. Организация передачи ПДн работника (ст. 88 ТК РФ). При передаче ПДн работника работодатель должен соблюдать следующие требования:

   1. Не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, не сообщать ПДн работника в коммерческих целях без его письменного согласия.

   2. Предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности).

   3. Осуществлять передачу ПДн работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

   4. Разрешать доступ к ПДн работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций.

   5. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

   6. Передавать ПДн работника представителям работников в порядке, установленном ТК и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.

9. Организация соблюдения прав работников в целях обеспечения защиты ПДн, хранящихся у работодателя (ст. 89 ТК РФ). В целях обеспечения защиты ПДн, хранящихся у работодателя, работники имеют право на:

   1. Полную информацию об их ПДн и обработке этих данных.

   2. Свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных федеральным законом.

   3. Определение своих представителей для защиты своих ПДн.

   4. Доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.

   5. Требование об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить ПДн работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. ПДн оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

   6. Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведённых в них исключениях, исправлениях и дополнениях.

   7. Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его ПДн.

ТК РФ глава 14 распечатанная