Главная » Разное

Что такое обработка персональных данных неавтоматизированным способом

Содержание
  1. Способы обработки персональных данных
  2. Нормативно-правовое регулирование
  3. Классификация действий с персональными данными
  4. Способы обработки
  5. Принципы обработки
  6. Условия обработки
  7. Способы обработки персональных данных государственными и муниципальными органами
  8. Что значит обработка персональных данных
  9. Что такое личные данные и их обработка. Что входит в состав личной информации
  10. Принципы обработки личной информации
  11. Способы и условия обработки данных
  12. Уведомление Роскомнадзора об обработке личной информации
  13. Меры, которые должен принять оператор при обработке сведений
  14. Запрет на обработку информации
  15. Ответственность за нарушения в работе с личными сведениями
  16. Итоги

Способы обработки персональных данных

Защита персональных данных
с помощью DLP-системы

С овременный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность. Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку. Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

  • сбор – это фактическая передача персональных данных от их субъекта оператору;
  • запись – может происходить и ручным, и машинным способом;
  • систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
  • накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
  • хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
  • уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
  • извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
  • использование;
  • передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
  • обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
  • блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;
  • удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
  • уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.
Читайте также:  Декор покрытие для стен дома капарол способы нанесения

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники. Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников. Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1. обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2. в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3. она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Читайте также:  Мультипликативная модель способ цепной подстановки

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Источник

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

Читайте также:  Прямой способ изложения нормы права это когда

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 3–6 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.