Представитель субъекта пдн кто это

Содержание

Субъект персональных данных – это кто такой? Форма согласия субъекта персональных данных

Представитель субъекта пдн кто это

Персональными данными называют любые сведения, относящиеся к конкретному или определяемому на их основании физлицу. К ним относят Ф. И. О.

, место, дату рождения, семейный, социальный, имущественный статус, адрес проживания, профессию, образование и пр. Субъект персональных данных – это, проще говоря, носитель такой информации.

В качестве источников сведений могут выступать паспорт, медицинская карта, финансовые ведомости и так далее.

Ограниченный доступ

Персональные данные без согласия субъекта не могут вноситься ни в какие документы и базы. С разрешения носителя информации в общедоступные источники могут включаться сведения о его Ф. И. О.

, адресе, месте, дате рождения, абонентском номере и пр. Действующим законодательством гарантируется защита прав субъектов персональных данных.

Лица, осуществляющие сбор и последующую работу с такими сведениями, за нарушение конфиденциальности сведений несут ответственность, вплоть до уголовной.

Операторы

Они осуществляют сбор и работу с информацией, относящейся к личности гражданина. Субъекты обработки персональных данных – муниципальные или госструктуры, физлица и организации.

Они не только осуществляют работу с информацией, но и определяют цели и содержание тех или иных операций с информацией.

При этом для совершения каких-либо действий оператор должен получить согласие субъекта персональных данных.

Доступ к личным сведениям

Одна из возможностей, которой наделен субъект персональных данных, – это получение информации об операторе. Носитель сведений может знать адрес нахождения, наличие соответствующих сведений у лица. Аналогичными возможностями обладает представитель субъекта персональных данных.

Полномочия этого лица должны подтверждаться документами, оформленными в соответствии с законодательными требованиями. Ознакомление со сведениями, которыми располагает оператор, – еще одна возможность, которой обладает субъект персональных данных. Это необходимо, в частности, для проверки достоверности сведений.

Эта возможность может быть ограничена только в случаях, прямо предусмотренных законодательством. Носитель информации может предъявить требование оператору о ее уточнении, блокировании или уничтожении.

Эта возможность реализуется в случаях, когда сведения являются устаревшими, неполными, незаконно полученными, недостоверными, не являются необходимыми для целей, заявленных оператором.

Субъект персональных данных – это главный участник операций с информацией о его личности. В соответствии с этим, он может предпринимать законные меры по обеспечению охраны сведений и предотвращению ущерба его личности, доброму имени, репутации.

Предоставление информации

Сведения о наличии данных у оператора должны передаваться субъекту в доступной форме. Не допускается включение в них личной информации других лиц.

Предоставление доступа к сведениям возможно по запросу субъекта-носителя данных или его поверенного.

Заявление должно содержать информацию об основном документе, подтверждающем личность гражданина, – номер, дату и место выдачи, наименование уполномоченной структуры. В запросе в обязательном порядке ставится подпись субъекта.

Если от его имени действует другое лицо, приводятся сведения о документе, подтверждающем полномочия. Подпись в заявлении в таком случае ставит представитель. Обращение может направляться в электронном виде. В этом случае заявление должно содержать цифровую подпись.

Перечень доступных сведений

Субъект вправе получить информацию, содержащую разные данные. К ним, в том числе, относят:

  1. Подтверждение факта работы с личными сведениями и ее цель.
  2. Методы обработки данных, используемые оператором.
  3. Сведения о работниках, имеющих доступ к информации, или которым он может быть предоставлен.
  4. Перечень сведений, с которыми осуществляется работа, источники их получения.
  5. Срок обработки и хранения имеющихся данных.
  6. Сведения о юридических последствиях работы с информацией.

Предписания законодательства

Как выше было сказано, право на доступ к личным данным может ограничиваться. Это происходит, если:

  1. Работа с информацией, полученной в рамках разведывательной, оперативно-розыскной, иной подобной деятельности производится для обороны страны, обеспечения ее безопасности и охраны порядка в обществе.
  2. Обработку данных осуществляют сотрудники, задержавшие субъекта по подозрению в преступлении, или предъявившие ему обвинение, или применившие к нему одну из существующих мер пресечения. Исключение составляют случаи, закрепленные УПК.
  3. Предоставление информации нарушит конституционные свободы и права третьих лиц.

Сбор информации

Законодательство может предусматривать обязанность субъекта предоставить свои данные для обработки. В таких случаях оператор должен разъяснить лицу последствия отказа от выполнения предписаний.

Если информация была получена не от носителя, кроме случаев, когда она была предоставлена на основании ФЗ, или если она является общедоступной, лицо, осуществляющее сбор сведений, должно предоставить следующие данные субъекту:

  1. Наименование оператора и его адрес (для физлиц – Ф. И. О.).
  2. Цель работы с информацией, юридическое основание.
  3. Потенциальные пользователи сведений.
  4. Права субъекта, установленные законодательством.

Меры безопасности

Оператор обязан использовать все доступные и допустимые средства, которыми обеспечивается защита прав субъекта персональных данных. В частности, он должен применять криптографические приемы, предотвращающие случайный либо незаконный доступ к сведениям, их уничтожение, блокирование, изменение, распространение и копирование.

Требования к безопасности данных при их обработке, к материальным носителям, технологиям хранения устанавливаются Правительством. Надзор за исполнением предписаний возлагается на исполнительную федеральную структуру власти в рамках ее компетенции.

Орган по защите прав субъектов персональных данных осуществляет контроль без возможности ознакомления со сведениями.

Работа с заявлениями

Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных. На операторов, работающих с информацией, возлагается ряд обязанностей.

В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных.

Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.

В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ.

В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание.

Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.

При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.

Устранение нарушений

При выявлении недостоверных сведений, обнаружении незаконных действий оператора при обращении либо по заявлению субъекта/его представителя к уполномоченной структуре о блокировке, она должна быть проведена незамедлительно.

Заинтересованное лицо может предоставить документы, в соответствии с которыми информация может быть уточнена. Если выявлены незаконные действия оператора, он в трехдневный срок с момента их обнаружения обязан устранить нарушения. Если это сделать не представляется возможным, сведения полежат уничтожению.

Это действие должно быть совершено в течение трех дней с даты обнаружения нарушений.

При достижении цели, для которой была необходима обработка данных, оператор обязан немедленно прекратить всю работу с информацией.

При этом он должен уничтожить сведения в трехдневный срок, если другое не предусматривается законодательством. О совершенных действиях оператор уведомляет субъекта или его представителя.

Если обращение либо заявление были направлены уполномоченной структурой, реализующей функции в сфере безопасности личных сведений, то извещается и она.

Форма согласия субъекта персональных данных

Разрешение лица на работу с его личными сведениями может предоставляться в любом виде, позволяющем подтвердить факт получения, если другое не закрепляется ФЗ № 152.

В своих разъяснениях Роскомнадзор (орган по защите прав субъектов персональных данных) рекомендует оформлять его письменно. Требования к документу присутствуют в 9 статье указанного выше Закона.

В письменное согласие включают:

  1. Ф. И. О., адрес лица, сведения о документе, подтверждающем личность (номер, серия, дата выдачи и наименование учреждения, его оформившего).
  2. Информацию о представителе субъекта. Кроме Ф. И. О., адреса, сведений о паспорте, приводятся реквизиты доверенности.
  3. Наименование либо адрес, Ф. И. О. оператора.
  4. Цель обработки личной информации.
  5. Перечень сведений, на работу с которыми дает разрешение их носитель.
  6. Наименование либо адрес и Ф. И. О. лица, осуществляющего обработку информации по поручению оператора.
  7. Конкретные действия, которые будут совершаться с информацией. Должно присутствовать также общее описание способов, используемых оператором при обработке данных.
  8. Период, в течение которого действует разрешение, если другое не устанавливается законодательством.
  9. Подпись субъекта-носителя данных.

Разрешение может предоставляться в электронном виде. В этом случае документ удостоверяется цифровой подписью.

Ответственность за неисполнение предписаний законодательства

Лицам, признанным виновными в нарушении требований ФЗ № 152, могут вменяться санкции в соответствии с действующими нормами. В частности, ст. 13.11 КоАП предусматривает наказания за незаконные сбор, хранение, использование, распространение сведений о гражданах. В качестве самой мягкой санкции выступает предупреждение. Кроме этого, ст. 13.11 предусматривает штрафы для:

  • физлиц – 300-500 р.;
  • служащих – 500-1 000 р.;
  • организаций – 5-10 тыс. р.

Моральный вред субъекту персональных данных, возникший в связи с ущемлением его интересов, нарушением предписаний действующего законодательства, подлежит возмещению в рамках гражданского судопроизводства. Его компенсация осуществляется вне зависимости от взыскания имущественного ущерба и понесенных убытков.

Уведомление о работе с информацией

До начала обработки данных оператор должен известить уполномоченную структуру (Роскомнадзор) о своем намерении. Исключение из этого правила закреплены в ч. 22 статьи ФЗ № 152. Оператор может не уведомлять уполномоченный орган, если он работает с данными:

  1. Относящимися к лицам, с которыми он связан трудовыми отношениями.
  2. Полученными при заключении договора, в качестве одной из сторон которого выступает субъект данных. При этом действует оговорка. Информация, полученная оператором, не должна распространяться и передаваться третьим лицам. Она используется исключительно для реализации условий договора и оформления соглашений с субъектом-носителем сведений.
  3. Относящихся к участникам религиозной или общественной организации. При этом полученная информация не должна распространяться без их разрешения.
  4. Являющимися общедоступными.
  5. Включающими только Ф. И. О. носителя.
  6. Необходимыми для однократного пропуска лица на территорию, где располагается оператор, либо в других подобных целях.
  7. Содержащимися в информационных базах, имеющих статус автоматизированных систем.
  8. Обрабатываемыми без применения средств автоматизации, согласно ФЗ или других нормативных актов, предусматривающих требования к безопасности информации при работе с ней и соблюдению интересов ее носителей.

Оформление уведомления

Извещение должно быть оформлено письменно. Оно подписывается уполномоченным служащим. Допускается направление уведомления в электронном виде. В этом случае оно заверяется цифровой подписью. В извещении необходимо указать:

  1. Наименование (Ф. И. О.) и адрес оператора.
  2. Цель работы со сведениями.
  3. Категории данных, которые будут обрабатываться.
  4. Юридическое основание для работы со сведениями.
  5. Категории лиц-носителей информации.
  6. Перечень конкретных действий оператора.
  7. Описание мер, которые будут предприняты для обеспечения безопасности сведений.
  8. Дату начала работы с информацией.

В уведомлении также должен присутствовать срок прекращения либо условие, при котором завершается обработка личных данных.

Источник: https://FB.ru/article/319423/subyekt-personalnyih-dannyih---eto-kto-takoy-forma-soglasiya-subyekta-personalnyih-dannyih

ПДН: что такое, особенности работы подразделения, кто занимается делами несовершеннолетних

Представитель субъекта пдн кто это

Последнее обновление: 16.02.2020

Детская и подростковая преступность сохраняется на прежнем уровне, если сравнивать показатель с предыдущими годами. Контролировать ее рост уполномочены специальные подразделения. ПДН – это орган, который контролирует подростков, состоящих на учете. Они совершали противоправные деяния. Инспектора проводят с ними беседы профилактического характера с целью не допущения рецидивов.

ВАЖНО: полномочия инспекторов, работающих в системе органов ПДН, на этом не заканчиваются. Они могут в случае совершения подростком преступления отправить его в учреждения закрытого типа.

Если гражданин в возрасте 18 лет совершил незаконное деяние, информация о случившемся передается в государственные инстанции. Это военкомат, ВУЗ.

Структурно субъекты ПДН – это подразделения, которые входят в систему органов МВД. Они могут быть:

  • муниципального, городского уровня;
  • управления административных образований;
  • подразделения на транспорте.

По статистике, к преступной деятельности склонны подростки, которые воспитываются в неблагополучных семьях, употребляющие наркотические вещества, совершившие ранее преступление.

Чаще всего в поле зрения субъектов ПДН попадают “трудные подростки”

Расшифровка и значение ПДН

Кто это – субъект ПДН? Работа подразделения направлена на пресечение правонарушений, а также выявление ситуаций, которые содействуют совершению подростком преступлений. Работа инспекторов ПДН регламентируется N3-ФЗ от 2011 года. Кроме того, кодифицированными НПА среди которых УК, КОАП, УИК РФ.

Деятельность инспекторов ПДН

Инспектор ПДН работает в ОВД. Для прохождения службы в государственной инстанции он должен отвечать требованиям:

  • российское гражданство;
  • диплом ВУЗа по специальности юрист, либо педагог;
  • отсутствие судимости.

Инспектор выступает юристом и педагогом в одном лице. Работа сложная, так как воздействие на подростка, совершившего преступление, должно основываться на доверии к взрослому. И его трудно достичь. В качестве инспекторов ПДН чаще можно встретить лиц женского пола. Считается, что к ним подростки более расположены и чувствуют себя с ними психологически защищенными.

Инспектору нужно понимать, что он обязан разговаривать с несовершеннолетними на понятом для их возрастного уровня языке, но постараться донести до них недопустимость правонарушений. А также разъяснить им последствия преступлений для их дальнейшей жизни.

Женщине-инспектору ПДН легче найти подход к несовершеннолетнему, чем коллеге-мужчине

Функции ПДН

Основная функция состоит в контроле над подростками, которые состоят на учете, а также теми, кто однажды успел преступить закон. Кроме того, во внутренних документах ОВД отражено, что инспектор ПДН обязан проводить юридическую защиту подростков и их семей. Должностные лица в процессе общения с ними выявляют лиц, которые вовлекают несовершеннолетних в преступления, руководят ими.

Профилактическая работа проводится с таким контингентом, как:

  • подростки, употребляющие психотропные вещества;
  • лица до 18 лет, успевшие стать наркоманами;
  • совершившим преступное деяние;
  • обвиняемым в преступлении, но не заключенными под стражу;
  • вышедшим из специальных учреждений;
  • осужденным условно.

Список не исчерпывающий. Инспектора ПДН оказывают всестороннее внимание к трудным подросткам.

Кроме того, они работают с их законными представителями, которые, на практике, не выполняют своих обязанностей по воспитанию, содержанию ребенка.

В объемах своей компетенции должностные лица оказывают содействие в розыске пропавших подростков, совершивших правонарушение или планирующих в нем участвовать.

Права и обязанности инспекторов по делам несовершеннолетних

Полномочия должностного лица описаны в Приказе МВД под номером 845, от 2013 года.

Инспектор ПДН имеет право:

  • вызывать на беседу несовершеннолетнего гражданина, его маму или папу;
  • разговаривать с подростком по темам преступлений и не допустимости их совершения;
  • осуществлять запросы в государственные инстанции, которые касаются несовершеннолетнего гражданина.

Инспектор ПДН не обрабатывает подростков и их родителей. Действия должностного лица направлены на предупреждение преступных деяний. Например, инспектор имеет право на три часа доставить нарушителей закона в ОВД, досмотреть их. Если подросток нарушает закон и делает это систематически, то его ставят на учет.

Обязанности инспектора ПДН:

  • не допускать насилия по отношению подростку;
  • проводить профилактические беседы с родителями ребенка;
  • помещать подростков в специальные учреждения (только по решению судебного органа).

ВАЖНО: если родители подростка считают, что, реализуя законные полномочия, инспектор ПДН нарушает правовые нормы, они вправе обжаловать его действия. 

Инспектору по делам несовершеннолетних приходится быть и юристом, и психологом, и педагогом

Общие задачами, которые ставит государство перед должностными лицами, выступают следующие:

  • наблюдение за молодежью на вверенном участке;
  • осуществление бесед профилактического характера с семьями, где живут подростки, нарушившие закон;
  • наблюдение за опекунами и родителями, которые ведут антисоциальный образ жизни;
  • посещение учебных заведений с целью поведения лекций по детской преступности;
  • взаимодействие со школьными психологами;
  • выявление подростков, принимающих наркотики;
  • оформление подростков в спец.учреждения;
  • ведение необходимой документации, касающееся постановки подростка на специальный учет;
  • формирование акта об условиях проживания подростка и т.д.

ВАЖНО: работа инспектора ПДН похожа на деятельность участкового инспектора, который контролирует вверенный ему участок.

Сотрудничество ПДН с органами опеки

Инспектора ПДН взаимодействуют с работниками административных и образовательных учреждений. В совместной работе они занимаются разработкой мер по профилактике правонарушений со стороны подростков. Кроме того, следят за надлежащим воспитанием детей, отправленных в учреждения закрытого типа.

Органы опеки не вправе разглашать персональные данные семей и расшифровывать их сотрудникам органов ПДН. В частности, тайна усыновления ребенка не должна быть известна сотруднику ПДН.

Порядок заведения дела на несовершеннолетних

Процесс включает в себя последовательные этапы:

  1. Оформление специальной карточки учета на ребенка, который подозревается в совершении правонарушения.
  2. Сбор объяснений со стороны участников конфликта, их опрос, фиксация в документах результатов бесед.
  3. Оформление акта об условиях проживания ребенка.
  4. Сбор информации о работе с ребенком, его опекунами и родителями.
  5. Передача в учебные заведения запроса, связанного с выдачей характеристики на несовершеннолетнего.

В конечном итоге проводится беседа со всеми участниками конфликта. По ее окончанию составляется документ. Ребенка ставят на учет. В дальнейшем за ним обязаны наблюдать инспектора ПДН.

СПРАВКА: родители, чьи дети состоят на учете, вправе снять их с него, если в течение 6 месяцев ими не было совершено правонарушения.

Частыми причинами недовольства выступают действия или бездействия сотрудников ПДН. Кроме того, наличие коррупционной составляющей,  также выявление иных фактов нарушения закона

Прежде чем составить жалобу, необходимо понимать, по каким правилам это делается. Жалоба пишется в двух экземплярах, подается в одну из трех инстанций:

  1. МВД.
  2. Прокуратура.
  3. Управление собственной безопасности.

Как показала практика, наиболее действенным вариантом, если рассматривать из трех имеющихся, выступает жалоба в Управление собственной безопасности. На нее поступает более оперативный ответ.

Жалобу лучше передать лично. В МВД – в канцелярию уполномоченного органа. Один экземпляр секретарь оставляет у себя, на втором – пишет дату, когда должен поступить ответ. Во всех случаях, уполномоченные органы обязаны ответить заявителю через 2 недели с момента поступления документа к ним. То же самое касается и органов Прокуратуры.

В жалобе необходимо лаконично написать обстоятельства дела, по которому поступило это заявление. Любой такой документ должен соответствовать правилам деловой переписки. Это исключает наличия в нем эмоциональных оборотов, ошибок, описок. Образец написания жалобы можно посмотреть в интернете.

Обычно составляет жалобу родитель ребенка, либо его законный представитель. Автором этого документа может выступать любой из них, если считает, что права несовершеннолетнего нарушены действиями инспектора ПДН. Закон не устанавливает, как должна быть написана жалоба: от руки или на ПК. Значит, заявитель имеет право выбрать любой из вариантов, которому он отдает предпочтение.

Кроме того, перед написанием жалобы полезно ознакомиться с порядком их приема в конкретном ведомстве.

Например, если заявление адресуется в Прокуратуру, то по правилам, должностные лица могут оставить его без рассмотрения, если на документе нет обратного адреса лица, которое его принесло.

Либо в нем так изложены фактические обстоятельства дела, что прокурор не может ничего понять из написанного.

Особенности работы инспектора ПДН

Живое общение, необходимость быть убедительным и найти “ключик” к каждому ребенку – таковы трудовые будни инспектора

Как и в любой работе, существуют свои особенности. Так, инспектора ПДН испытывают на себе большие перегрузки, как эмоционального, так и физического характера при относительно небольшом заработке. Много бумажной работы.

Но тем, кто не любит сидеть на одном месте, такая работа должна понравиться. Она не требует монотонности. Наоборот: это живое общение с детьми, хотя и трудными. А также с их родителями.

Но нельзя не согласиться с тем, что работа направлена на достижение общественно-полезной цели: воспитание трудных детей.

Заказать бесплатную консультацию юриста

Источник: https://urist-bogatyr.ru/article-item/chto-yeto-takoe-pdn/

Основные правила работы с персональными данными: принципы, ответственность, безопасность

Представитель субъекта пдн кто это

По результатам проверок Роскомнадзора видно, что численность правонарушений в сфере защиты личных данных возрастает, и, следовательно, увеличивается количество штрафов предписанных операторам.

Ниже перечислены самые распространенные нарушения операторов по отношению к персональным данным (ПДн).

  1. Сведения, которые указаны в документах об обработке ПДн не соответствуют.
  2. Не дано согласия субъекта ПД на обработку ПДн.

Рассмотрим новые пункты, внесенные в закон о защите персональных данных. Ниже перечислены уточненные формулировки профессиональных терминов.

  1. Обработка ПДн (автоматизированная) – это обработка персональных данных вычислительными машинами. Вычислительные машины (СВТ) – элементы систем для обработки данных, которые в свою очередь способны работать самостоятельно или являться составляющими других систем.  СВТ различают на технические устройства и программы. Также под закон попадает обработка данных, которая осуществляется без средств автоматизации.
  2. Персональные данные – абсолютно любая информация, которая прямо или косвенно относится к физическому лицу (то есть не только реквизиты физического лица).
  3. Оператор – это госорган, юридическое или физическое лицо, муниципальный орган, который  организует и (или) проводит обработку ПДн, а также определяет для чего именно проводится обработка ПДн.
  4. Работа с ПДн (обработка) – это любые действия (операции), произведенные с персональными данными.
  5. Распространение личных данных – действия, впоследствии которых открываются персональные данные другим лицам, не ограниченным по численности.
  6. Предоставление личных данных – действия, в результате которых открываются персональные данные другим лицам, ограниченным по численности.
  7. Обезличивание личных данных – это не односторонний процесс, в ходе которого, пользуясь дополнительной информацией можно понять принадлежность каких-либо данных к конкретному субъекту персональных данных.
  8. Информационная система личных данных – совокупность информационных технологий и  различных технических средств, с помощью которых обеспечивается обработка ПДн и пдн, содержащихся в базах данных.
  9. Полномочия о принятии законов, касающихся сферы защиты персональных данных переданы Банку России и местным органам власти.
  10. Угроза для безопасности ПДн – сочетание каких-либо условий и различных факторов, которые создают опасность несанкционированного, случайного доступа к ПДн, вследствии  чего могут быть уничтожены, изменены, блокированы и прочее ПДн, а также другие неправомерные действия при обработке в ИСПДн;
  11. Порог (уровень защищенности) ПДн – своеобразная черта, по которой можно судить о «качестве» безопасности ПДн при работе с ними.

Принципы обработки персональных данных.

  1. Обработка должна осуществляться по закону и справедливой основе.
  2. Обрабатываемые ПДн должны быть конкретны.
  3. Обрабатываемые ПДн должны быть краткими.
  4. Оператор должен удалять или уточнять неполные или неточные данные.

Ниже перечислены пункты, в которых рассматривается передача ПДн оператора другому лицу.

  1. Оператор вправе передать обработку ПДн другому лицу только с согласия субъекта ПДн и только на основании заключенного договора.
  2. На лицо, которому поручили осуществление обработки ПДн, возлагаются  установленные законы обработки ПДн. В поручении оператора должно излагаться, какие именно действия должны совершаться лицом. Отметить стоит то, что субъект ПДн должен быть проинформирован, что работой с его ПДн будет заниматься другое лицо.
  3. Однако за действия лица перед субъектом ПДн, которому была поручена обработка, несет ответственность оператор ПДн. А лицо несет ответственность за свои действия перед оператором ПДн.

Согласие субъекта ПДн.

Дать разрешение на обработку ПДн может не только субъект ПДн, но и его представитель.

Состав и перечень мер для того, чтобы обеспечить выполнение обязанностей.

  1. Оператор должен назначить ответственное лицо за обработку ПДн.
  2. Должны иметься документы, из которых будет ясно, как именно оператор будет производить обработку ПДн, к тому же к ним должен быть неограничен доступ.
  3. Оператор обязан применять правовые, технические и организационные меры, для того чтобы обеспечить безопасность ПДн.
  4. Осуществление внутреннего мониторинга, в котором стоит определить соответствует ли обработка ПДн порядку его проведения.
  5. Оценить вред, который может быть причинен субъектам ПДн.
  6. Ознакомить сотрудников оператора с положениями об организации работы с ПДн.

Заниматься разработкой обязательных мер для гос. операторов  поручено Правительству РФ.

Ниже перечислены меры, с помощью которых обеспечивается безопасность ПДн.

  1. Определить угрозы безопасности ПДн при их обработке в системах ПДн.
  2. Обеспечить безопасность ПДн путем организационных и технических мер при работе с ними в информационных системах ПДн.
  3. Оценить соответствие средств защиты информации.
  4. Определить эффективность мер, которые принимаются для того, чтобы обеспечить безопасность персональных данных до ввода в использование информационной системы ПДн.
  5. Учитывать машинные носители ПДн.
  6. Вовремя обнаружить несанкционированный доступ к ПДн.
  7. Принять меры по восстановлению ПДн, модифицированных или уничтоженных из-за несанкционированного доступа к ним.
  8. Создавать правила доступа к ПДн, а также вести регистрацию и читывать все действия, совершаемые с ПДн в ИСПДн.
  9. Должен проводиться контроль над принимаемыми мерами по безопасности ПДн и уровнем защищенности ИСПДн.

Ответственность оператора.

  1. Лица ответственные за какую-либо обработку данных должны быть представлены операторами в уполномоченный орган по защите прав субъектов ПДн не позже 1 января 2013 года.
  2. При изменении сведений, а также о прекращении обработки данных нужно обязательно уведомить территориальный орган Роскомнадзора в течение 10 рабочих дней с даты прекращения работы с персональными данными.
  3. Оператор обязан назначить лицо, ответственное за обработку данных.

Лицо, которое назначено ответственным за обработку ПДн обязано выполнять следующие пункты:

  1. Проводить внутренние проверки, касающиеся соблюдения закона  о ПДн, а также защиты ПДн.
  2. Держать в курсе изменений положений законодательства РФ о ПДн, а также требований о защите ПДн своих работников.
  3. Организовать прием обращений субъектов ПДн или их представителей, а также осуществлять контроль над такими обращениями или запросами.

Отметим еще ряд изменений:

  1. Срок для сообщения оператором субъекту ПДн о наличии ПДн, которые относятся к этому субъекту, увеличен на 20 рабочих дней. В этот же срок оператор имеет право подготовить обоснованный ответ для отказа в предоставлении таких сведений.
  2. Оператор должен в течение 7 дней внести изменения в неполные, неточные или неактуальные сведения и сообщить об этом субъекту ПДн (его представителю);
  3. Оператор должен уничтожить сведения, которые получены незаконно, или являются лишними для заявленной цели обработки по сообщению субъектом ПДн, при том сделать это в срок до 7 рабочих дней.
  4. Оператор должен осуществить блокирование неправомерно обрабатываемых ПДн в случае если устанавливается факт неправомерной обработки ПДн по запросу субъектов ПДн.
  5. Информация по запросу должна быть изложена в течение 30 дней с момента получения запроса.
  6. Увеличен срок для уничтожения ПДн/прекращения их обработки с согласия субъекта ПДн на 17 рабочих дней.

Остались вопросы? Просто позвоните нам:

Вам помогла наша статья? Поделитесь в соц сетях!

Источник: https://pravo812.ru/useful/163-zashchita-personalnykh-dannykh.html

Персональные данные: что является ПДн, оператор ПДн, документы для обработки ПДн

Представитель субъекта пдн кто это

04.09.2018

Наверное, нет таких предпринимателей, которых бы не пугали Роскомнадзором в 2017 году. Защищать персональные данные своих сотрудников и клиентов прошлым летом ринулись многочисленные предприниматели и в особенности интернет-предприниматели.

И тому была веская причина — ответственность за нарушение порядка обработки персональных данных была серьезно ужесточена — теперь есть ответственность в виде штрафа за неопубликование Политики обработки персональных данных.

При этом дела передали рассматривать от прокуратуры в Роскомнадзор, который куда более оперативно стал проводить проверки и рассматривать жалобы.

Что такое персональные данные?

Если вы зададите такой вопрос Роскомнадзору (а его не задавал только ленивый), то получите типовой ответ из Закона о персональных данных, что ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также их совокупность». Исходя из этого мы можем сделать вывод, что ПДН — это практически любая информация, а чаще её совокупность (например, ФИО и дата рождения), с помощью которой определяется или может быть определено конкретное физическое лицо.

Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация и т.п.;
  • контактная информация (адрес, номер телефона и т.п.);
  • семейное положение, наличие детей;
  • факты биографии;
  • СНИЛС;
  • дата и место рождения;
  • адрес;
  • email;
  • финансовое положение, включая сведения о зарплате (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • фотография и видеозапись, позволяющие установить личность человека (Разъяснения Роскомнадзора);
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

При этом само по себе ФИО или email ещё не будут персональными данными, т.к. не позволяет определить конкретное лицо, а вот вместе с дополнительными сведениями — об адресе, дате рождения или месте работы — уже будут являться ПДн. В отношении email есть интересная позиция: если адрес электронной почты содержит имя и фамилию гражданина, то он сам по себе тоже является персональными данными.

Отдельный вопрос, являются ли файлы файлы cookies (в которых собираются поведенческие сведения о пользователи конкретного ПК: посещенные сайты, длина сессий, аутентификационный идентификатор и т.п.

), данные о поведении пользователя на сайте, IP-адрес и сведения о геопозиции персональными данными? Роскомнадзор считает эти данные персональными и не только в совокупности с ФИО или фотографией пользователя, но и сами по себе.

В действительности cookies и IP-адрес лишь передают сведения о конкретном ПК или ином устройстве, выходящем в интернет, но не обязательно о конкретном пользователе.

IP-адрес ещё менее «надёжно» определяет пользователя, так как компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).

Есть несколько примеров, когда суды принимали решение признать персональным данными только имя в онлайн-форме на сайте (к примеру, постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288 в отношении тамбовской юридической фирмы). Ориентироваться на такую судебную практику не стоит:

  1. При желании можно найти решения суда, подтверждающие практически любую позицию, но это не значит, что эта позиция верна.
  2. Постановление Тамбовского областного суда — яркий пример судебного акта, который должен был быть отменён как незаконный и необоснованный, однако «нарушитель» не стал его обжаловать в Верховный суд РФ. Ведь очевидно, что имя не позволяет определить конкретное лицо с необходимой степенью достоверности.

К «неперсональным данным» относятся:

  • ИНН, так как он включен в ЕГРЮЛ и свободно доступен;
  • рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте);
  • видеозапись в публичных местах и на охраняемой территории;
  • образцы почерка (подписи) и фотография гражданина в его личном деле у работодателя согласно позиции Роскомнадзора, что «поскольку… личность уже определена и чьи персональные данные уже имеются в распоряжении оператора».

Однако если они будут использованы для идентификации человека, то сразу же становятся ПДн и более того специальной категорией — биометрическими ПДн.

Кто является оператором персональных данных?

Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.

Вы проводите семинар и просите слушателей оставить свои контактные данные (ФИО, email, название компании, должность, телефон и т.п.) в этом случае кем бы вы не являлись обычным гражданином или предпринимателем — вы оператор персональных данных, который:

  • собирает (как раз на семинаре);
  • систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
  • накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
  • уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
  • извлекаете сведения для передачи в сервис почтовых рассылок;
  • после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.

Все эти действия и называются обработкой.

Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору.

Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется.

Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Когда надо получать согласие на обработку персональных данных?

Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.

К примеру, при размещении на сайте формы подписки на рассылку, в которой будет только email и впоследствии не будет дополнительно требоваться ФИО, согласие на обработку ПДн не требуется. Многие сайты стараются получать согласия во всех случаях сбора данных о пользователе, т.к. нельзя исключать, что Роскомнадзор может изменить свой подход к ситуации.

Когда не нужно согласие на обработку персональных данных?

Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.

К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.

Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.

Такое согласие не требуется в случаях, когда обработка персональных данных:

  1. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
  5. необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.

Защита персональных данных

Ключевым моментом, связанным с вопросом персональных данных, является именно их защита — на это нацелены все усилия государства и построена вся логика работы с этими данными. Конкретные действия по защите определяет сам оператор (тот, кто обрабатывает ПДн) кроме единственного вопроса — назначения ответственного за организацию обработки ПДн, что он должен сделать сразу и безусловно.

Такие меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними.

Если проверяющие посчитают, что такие меры были недостаточными, то последует штраф и предписание, за неисполнение которого также предусмотрен ещё один штраф.

И так до того момента, пока вы не выполните всё ожидаемое от вас даже если вам это будет мешать вести бизнес.

Все мероприятия делятся на два вида:

  1. Юридические — по созданию комплекта документов.
  2. Технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. К примеру, установить антивирус, файерволл, пароль на ПК, иногда установить шифрование, обучить сотрудников.

В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе или закрывающемся шкафу или комнате, иметь замки в офисе, охранную систему).

Для защиты электронных данных вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять.

Специальные требования по защите ПДн предусмотрены для отдельных категорий операторов, к примеру, органов власти. Компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR), в том числе если они продают товары гражданам Евросоюза, должны учитывать также требования этого регламента.

Производить видеозапись или фотографирование клиентов, в т.ч.

пациентов не запрещено, если целью является контроль за оказанием услуг или их улучшение (фото- и видеофиксация, создание обучающих видео), однако Роскомнадзор придерживается позиции, что в «целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер».

Совет: установите в Политике по обработке персональных данных (является обязательным документом для всех, кто вообще обрабатывает их) порядок и сроки хранения фото- и видеозаписей с изображением сотрудников и клиентов, приведите в соответствие с ними настройки вашей техники, ограничьте доступ к этим записям лиц, не имеющих служебной необходимости их просматривать.

Минимальный комплект документов для законной обработки персональных данных:

  1. Политика в отношении обработки персональных данных — документ в котором устанавливаются категории, цели, способы обработки ПДн, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. Документ должен быть размещён онлайн или на видном месте в помещении компании.
  2. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
  3. Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц, который выполняет требование разграничения доступа и позволяет установить, какой из сотрудников имел доступ в случае разглашения.
  4. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Читайте вторую часть: инструкция по защите ПДн на сайте.

Источник: https://MainMine.ru/pro/personalnyie-dannyie-zashhita-bez-napadenij-chast-1

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.