- •Тема 4. Основы защиты персональных данных Обязательные требования по обработке и защите персональных данных в России
- •Обязательные требования – понятие
- •1.Общие обязательные требования по защите персональных данных
- •2.Обязательные требования по защите информации при обработке пДн в информационных системах пДн (автоматизированная обработка) и без использования средств автоматизации
- •Обязательные требования при обработке пДн без использования средств автоматизации
- •Обязательные требования по обработке и защите персональных данных в России
- •Попов, Мигачёв.
- •Сёмкины.
- •1.Обязательные требования к материальным носителям биометрических пДн и технологиям хранения таких данных вне ис пДн
Обязательные требования при обработке пДн без использования средств автоматизации
-
Наличие Правил обработки ПДн, осуществляемых без средств автоматизации (п.3 ППРФ от 15.09.2008 №687).
-
Наличие отдельных материальных носителей для каждой категории ПДн (п.4 и 5 ППРФ от 15.09.2008 №687).
-
Наличие типовых форм, в которых предполагается или допускается включение в них ПДн (п.7 ППРФ от 15.09.2008 №687).
-
Наличие и ведение журнала (реестра, книги) для пропуска субъекта ПДн на территорию оператора (п.8 ППРФ от 15.09.2008 №687).
-
Организация раздельного хранения категорий ПДн (п.14 ППРФ от 15.09.2008 №687).
-
Информирование сотрудников, обрабатывающих ПДн о Правилах их обработки (п.6 ППРФ от 15.09.2008 №687).
Лекция 18
Л12 ПОИБ
Обязательные требования по обработке и защите персональных данных в России
Вопросы:
-
Обязательные требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИС ПДн.
-
Обязательные требования по защите ПДн работника.
Литература:
-
Попов, Мигачёв.
-
Сёмкины.
-
ФЗ от 30.12.2001 №197-ФЗ «ТК РФ».
-
ПП РФ от 04.03.2010 №125 «О перечне ПДн, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане РФ осуществляют выезд из РФ и въезд в РФ».
-
ПП РФ от 06.08.2008 №512 «Об утверждении…».
-
Т.А. Кухаренко «ПДн» - 224 стр.
1.Обязательные требования к материальным носителям биометрических пДн и технологиям хранения таких данных вне ис пДн
-
Выполнение требований к материальному носителю биометрическому носителю ПДн, который должен обеспечивать (п.4 ПП РФ от 06.07.2008 №612):
-
Защиту от несанкционированной повторной и дополнительной записи сведений после её извлечения из ИС ПДн.
-
Возможность доступа к записанным на материальный носитель биометрическим ПДн только уполномоченным лицам.
-
Возможность идентификации ИС ПДн, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществляющего такую запись.
-
Невозможность НСД к биометрическим ПДн, содержащимся на материальном носителе.
-
-
Наличие утверждённого порядка передачи материальных носителей уполномоченным лицам (п.5 ПП РФ от 06.07.2008 №512).
-
Определение срока использования носителя (п.6 ПП РФ от 06.07.2008 №512).
-
Наличие учёта количества экземпляров материальных носителей и присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических ПДн на материальный носитель (п.8 ПП РФ от 06.07.2008 №512).
-
Наличие электронных цифровых подписей или иных информационных технологий при записи дополнительной информации, имеющей отношение к биометрическим ПДн (п.10 ПП РФ от 06.07.2008 №512).
-
Наличие требований хранения ПДн вне ИС ПДн (п.9, 11, 12 ППРФ от 06.07.2008 №512).
2.Обязательные требования по защите ПДн работника
Понятия
ПДн работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Обработка ПДн работника – получение, хранение, комбинирование, передача или любое другое использование ПДн работника.
Цели обработки ПДн работника
-
Соблюдение законов и иных НПА.
-
Содействие работникам в трудоустройстве.
-
Обучение и продвижение по службе.
-
Обеспечение личной безопасности работников.
-
Контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
Персональные данные работника
Относятся:
-
Сведения о ПДн работника (анкеты).
-
Документы, где отражены сведения о ПДн работника (документы).
Обязательные требования по защите ПДн работника
-
Наличие письменного согласия получения ПДн работника (у него самого или от третьего лица) (п.3 ст.86 ТК РФ).
-
Отсутствие в ПДн работника о его политических, религиозных и иных убеждениях и частной жизни (п.4 ст.86 ТК РФ).
-
Наличие письменного согласия работника на получение и обрабатывание данных о его частной жизни (п.4 ст.86 ТК РФ).
-
Отсутствие у работодателя ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами (п.5 ст.86 ТК РФ).
-
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения (п.6 ст.86 ТК РФ).
-
Наличие подписей работников (их представителей) об ознакомлении с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области (п.8 ст.86 ТК РФ).
-
Организация порядка хранения и использования ПДн работников (ст. 87 ТК РФ).
-
Организация передачи ПДн работника (ст. 88 ТК РФ). При передаче ПДн работника работодатель должен соблюдать следующие требования:
-
Не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, не сообщать ПДн работника в коммерческих целях без его письменного согласия.
-
Предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности).
-
Осуществлять передачу ПДн работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.
-
Разрешать доступ к ПДн работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций.
-
Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
-
Передавать ПДн работника представителям работников в порядке, установленном ТК и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.
-
-
Организация соблюдения прав работников в целях обеспечения защиты ПДн, хранящихся у работодателя (ст. 89 ТК РФ). В целях обеспечения защиты ПДн, хранящихся у работодателя, работники имеют право на:
-
Полную информацию об их ПДн и обработке этих данных.
-
Свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных федеральным законом.
-
Определение своих представителей для защиты своих ПДн.
-
Доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.
-
Требование об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить ПДн работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. ПДн оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
-
Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведённых в них исключениях, исправлениях и дополнениях.
-
Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его ПДн.
-
ТК РФ глава 14 распечатанная