Доцент кафедры управления персоналом, документоведения и архивоведения,

доцент

Мельничук Александр Васильевич
тел. 8-926-278-53-64, адрес эл. почты mav68@rambler.ru
Лекция 3
Персональные данные.

Законодательство в области защиты персональных данных

Дисциплина
Конфиденциальность в управлении персоналом

лица

при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981)
Конституции

РФ
Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.07.2012) «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 04.06.2014) «О персональных данных»
Трудовой кодекс РФ от 30.12.2001N 197-ФЗ (ред. от 28.06.2014) Глава 14
Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) «Об утверждении Перечня сведений конфиденциального характера» Пункт 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина
Федеральный закон от 27.07.2004 N 79-ФЗ (ред. от 02.04.2014) «О государственной гражданской службе Российской Федерации» Глава 7. Персональные данные гражданского служащего. Кадровая служба государственного органа
Федеральный закон от 02.03.2007 N 25-ФЗ (ред. от 04.03.2014) «О муниципальной службе в Российской Федерации» Статья 29. Персональные данные муниципального служащего
Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных«
Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

любая информация, относящаяся к прямо или косвенно определенному или определяемому

физическому лицу (субъекту персональных данных)

- являются государственный орган, муниципальный орган, юридическое или физическое лицо,

организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в

отношении соблюдения требований федерального закона.

неограниченному кругу лиц с согласия субъекта ПД или на которые

в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности.

национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья,

интимной жизни.

Случаи в которых допускается обработка специальных категорий ПД

• субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
• обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности

и связи РФ от 13 февраля 2008 года N 55/86/20

"Об утверждении Порядка проведения классификации информационных систем персональных данных"

особенности человека и на основе которых можно установить его личность.

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим.

которое может быть однозначно идентифицировано на основе персональных данных.
Право

субъекта персональных данных на доступ к своим персональным данным.
Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД.

цель обработки ПД
способы обработки ПД
сроки обработки ПД
перечень допущенных к обработке ПД лиц
перечень обрабатываемых ПД и источник их получения
сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

данных в целях продвижения товаров, работ, услуг на рынке, а

также в целях политической агитации.
В данном случае обработка осуществляется только при условии предварительного согласия субъекта.
Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.
Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки
Право на обжалование действий или бездействия оператора
Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

об обработке ПД и ,собственно, защита ПД
Случаи когда не нужно

обращаться
1. если его связывают с субъектом трудовые отношения;
2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
3. если данные относятся к членам религиозных объединений и общественных организаций;
4. если данные являются общедоступными;
5. если включают в себя только ФИО;
6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
7. если данные включены в федеральные автоматизированные информационные системы и гос. инф. системы ПД;
8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

обязанность
«принимать необходимые организационные и технические меры для защиты персональных данных

от неправомерного или случайного доступа к ним»
Уведомительный характер обработки персональных данных.
оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД
При получении персональных данных оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку
субъект имеет право отозвать данное разрешение

все имеющиеся сведения о нем, целях и условиях обработки, способах

защиты его персональных данных.
Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД
Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам.
Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа.

в 500000 рублей за невыполнение законного предписания Роскомнадзора и приостановку

деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии

Уголовный кодекс
Предусматривает штрафе в 300 000 рублей, обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам

о защите информации»

существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить

положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

информация, составляющая коммерческую тайну - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны

ФЗ от 29.07.2004 N 98-ФЗ "О коммерческой тайне"

конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

правила работы пользователей в корпоративной сети;
инструкции по использованию сервисов

безопасности;
регламент предоставления доступа к информационным ресурсам.

безопасности
Организационные вопросы безопасности
Вопросы связанные с персоналом
Контроль доступа
Разработка и обслуживание системы
Управление

непрерывностью бизнеса