Категория: Бланки/Образцы
Ужесточены нормы законодательства по защите персональных данных работников. В связи с этим строительной компании необходимо позаботиться о соблюдении установленных в этой сфере требований.
В целях дополнительной защиты сведений о гражданах в Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ были внесены существенные поправки, вступившие в силу с 1 июля 2011 года (см. Федеральный закон от 25 июля 2011 г. № 261-ФЗ).
Изменилось само понятие персональных данных, под которыми теперь понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 закона № 152-ФЗ).
Строительная компания, обрабатывающая такие данные, по своему статусу соответствует понятию оператора.
Под обработкой персональных данных понимается любое действие (операция) с персональными данными, совершаемое с применением средств автоматизации или без их применения. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование данных и т. д.
Введено понятие автоматизированной обработки персональных данных, а также соответствующее нормативное регулирование.
Уточнены принципы обработки сведений (ст. 5 закона № 152-ФЗ).
Закреплено, что обработка должна ограничиваться достижением конкретных, заранее определенных целей. При этом обрабатываемые данные не должны быть избыточными. Если срок хранения персональных сведений не установлен (законом, договором), хранить их нужно не дольше, чем этого требуют цели обработки. После чего данные подлежат уничтожению либо обезличиванию.
Новшеством является также то, что регламентирован порядок поручения обработки персональных данных третьему лицу. Компания вправе это сделать с согласия работника на основании заключаемого с третьим лицом договора (поручения оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора (компании-работодателя), обязано соблюдать принципы и правила такой операции, предусмотренные законом № 152-ФЗ.
В поручении должны быть определены перечень действий с данными и цели их обработки, а кроме того, установлена обязанность третьего лица соблюдать конфиденциальность этих сведений и обеспечивать безопасность при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица будет нести сама компания. А лицо, осуществляющее обработку информации по ее поручению, несет ответственность перед компанией.
Какие меры предпринять
В закон № 152-ФЗ введена новая статья 18.1. В ней предусмотрены меры, направленные на обеспечение обновленных требований. Работодателю следует определить перечень мер, необходимых для выполнения обязанностей по обработке персональных данных. Он должен включать:
– назначение лица, ответственного за организацию обработки персональных данных;
– издание компанией документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки таких сведений и предотвращения (устранения) нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля соответствия обработки персональных данных указанному закону и принятым на основании его нормативным правовым актам;
– оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
– ознакомление работников компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства о защите персональных данных, локальными актами по указанным вопросам и обучение этих работников.
Обратите внимание: строительной организации теперь помимо Положения по защите персональных данных работников, которое следовало принять в соответствии с Трудовым кодексом РФ, необходимо разработать новый документ – Политику в отношении обработки персональных данных.
Как обеспечить безопасность
Обеспечение безопасности персональных данных достигается, в частности:
– определением угроз безопасности данных при их обработке в информационных системах;
– применением организационных и технических мер;
– учетом машинных носителей персональных данных;
– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановлением данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
– установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с ними в информационной системе;
– контролем за уровнем защищенности информационных систем.
Не следует забывать и о том, что в настоящее время действуют документы:
– приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
– Методика определения актуальных угроз безопасности персональных данных … утвержденная ФСТЭК России 14 февраля 2008 г.;
– Базовая модель угроз безопасности персональных данных… утвержденная ФСТЭК России 15 февраля 2008 г.
Учтите: по запросу уполномоченного органа по защите прав субъектов персональных данных строительная фирма обязана представить документы и локальные акты или иным образом подтвердить принятие соответствующих мер.
>|Образец уведомления об обработке (о намерении осуществлять обработку) персональных данных и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706.|<
По общему правилу уведомить Роскомнадзор об осуществлении обработки персональных данных обязаны все операторы, которые этим занимаются (п. 1 ст. 22, п. 4 ст. 25 закона № 152-ФЗ). Однако есть и исключения. Они приведены в пункте 2 статьи 22 закона № 152-ФЗ. Например, если строительная компания имеет дело лишь с личными данными работников (обрабатываемыми в соответствии с трудовым законодательством), указанное требование на нее не распространяется.
Необходимым условием является получение согласия работника на обработку его персональных данных. Порядок его получения определен в статье 9 закона № 152-ФЗ (он стал более четким):
– согласие должно быть конкретным, информированным и сознательным;
– оно может быть дано физлицом или его представителем в любой позволяющей подтвердить факт его получения форме, в том числе в форме электронного документа, подписанного электронной цифровой подписью.
В нем нужно указать:
– фамилию, имя, отчество, адрес, данные документа, удостоверяющего личность гражданина;
– те же данные – о представителе при его наличии);
– наименование или фамилию, имя, отчество и адрес оператора, получающего согласие человека на обработку его данных;
– цель обработки данных;
– перечень персональных данных, на обработку которых дается согласие;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
– перечень действий, на совершение которых дается согласие, общее описание используемых способов обработки;
– срок, в течение которого действует согласие, а также способ его отзыва;
– подпись субъекта персональных данных (физлица).
Внесены дополнения и в части наказания за нарушение требований закона № 152-ФЗ.
За совершение дисциплинарного проступка в процессе исполнения трудовых обязанностей (нарушение уполномоченным лицом условий о неразглашении персональной информации, о принятии мер по сохранности, недопущению распространения информации и т. д.) работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям (ст. 192 Трудового кодекса РФ).
Новшеством являются положения о компенсации морального вреда. Так, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав из-за нарушения правил обработки персональных данных, а также требований к их защите, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, согласно статье 13.11 Кодекса РФ об административных правонарушениях, влечет предупреждение или наложение штрафа: на граждан в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб.
За разглашение информации, доступ к которой ограничен федеральным законом, статьей 13.14 Кодекса РФ об административных правонарушениях предусмотрен штраф: для граждан в размере от 500 до 1000 руб.; для должностных лиц – от 4000 до 5000 руб.
За нарушение неприкосновенности частной жизни грозит уже уголовная ответственность (п. 1 ст. 137 Уголовного кодекса РФ). Так, незаконный сбор или распространение сведений о человеке (его семье) без его согласия либо публичное распространение этих сведений наказывается:
– штрафом до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
– обязательными работами на срок от 120 до 180 часов;
– исправительными работами на срок до одного года;
– арестом на срок до четырех месяцев;
– лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью в течение срока до трех лет.
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, согласно пункту 1 статьи 272 Уголовного кодекса РФ, предусматривает схожие меры (штраф, обязательные или исправительные работы и т. д.). Различие в том, что среди них нет ареста и запрета занимать определенные должности.
Руководитель строительной компании должен назначить ответственного за обработку персональных данных. Для осуществления указанной обработки (как самой компанией, так и по ее поручению третьими лицами) необходимо получить согласие работника.
Статья напечатана в журнале "Учет в строительстве" №12, декабрь 2011 г.
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ САРАТОВСКОЙ ОБЛАСТИ
от 9 марта 2016 года N 328
Об утверждении правил оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
1. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в министерстве здравоохранения области согласно Приложению к настоящему приказу.
2. Назначить заместителя начальника управления организации работы министерства здравоохранения области Курганова Сергея Владимировича ответственными за оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в министерстве здравоохранения области.
3. Настоящий приказ подлежит официальному опубликованию в средствах массовой информации.
4. Контроль за исполнением настоящего приказа возложить на первого заместителя министра здравоохранения области В. Б. Николаева.
Приложение
к приказу министерства
здравоохранения Саратовской области
от 09.03.2016 г. N 328
Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных (далее - Правила) определяют порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - ФЗ N 152-ФЗ), и отражают соотношение указанного возможного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ N 152-ФЗ.
1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
2.1. В настоящих Правилах используются основные понятия:
2.1.1. Информация - сведения (сообщения, данные) независимо от формы их представления;
2.1.2. Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность;
2.1.3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
2.1.4. Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;
2.1.5. Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;
2.1.6. Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
2.1.7. Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом;
2.1.8. Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;
3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных;
3.2.4. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;
3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;
3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;
3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;
3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
3.3. Субъекту персональных данных может быть причинен вред в форме:
3.3.1. Убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
3.3.2. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
3.4. В оценке возможного вреда министерство здравоохранения области исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:
3.4.1. Низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
3.4.2. Средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;
3.4.3. Высокий уровень возможного вреда - во всех остальных случаях.
4.1. Оценка возможного вреда субъектам персональных данных осуществляется лицом, ответственным в министерстве здравоохранения области за защиту информации, в соответствии с методикой, описанной в разделе 3 настоящих Правил, и на основании экспертных значений, приведенных в Приложении 1.
4.2. Состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ N 152-ФЗ "О персональных данных", определяется лицом, ответственным в министерстве здравоохранения области за организацию обработки персональных данных, исходя из правомерности и разумной достаточности указанных мер.
Приложение 1
к правилам
Оценка вреда, который может быть причинен субъектам персональных данных, а также соотнесение возможного вреда и реализуемых Оператором мер
Не буду повторятьcя, но оценка именно вреда, а не ущерба (как было ранее) была рассмотрена на прошедшем вэбинаре «Изменения в законе о защите персональных данных»
http://smartsourcing.ru/blogs/informatsionnaya_bezopasnost/1062
В сообществе прошел вебинар по изменениям в законе о персональных данных, которые вступили в силу с 1 июля 2011 года. вступил в действие ФЗ-152 «О защите персональных данных». Ведущий Евгений Царев рассказал о новых моментах в законодательстве, а также ответил на множество вопросов участников вебинара.
Основные темы вебинара:
Основные изменения в законе о персональных данных
Принципы обработки персональных данных
Обязанности оператора при сборе персональных данных
Меры по обеспечению безопасности персональных данных при их обработке
Обработка персональных данных с использованием средств автоматизации и без них
Меры по приведению организации в соответчике с требованиями ФЗ-152
Лицензирование деятельности по защите персональных данных
Ответственность по вопросам защиты персональных данных
Изменено: Svyazist - 08.11.2011 21:58:07
Основной вопрос данного поста: Как оценить реально возможный ущерб субъектам ПДн от утечки их же ПДн? И некоторые ответы у меня имеются. Но обо все по порядку.
Начнем с того, какие сейчас имеются предложения по решению данного вопроса:
А теперь вернемся к вопросу о том, что необходимо определить. А определить нужно возможный ущерб субъектам ПДн. Именно ущерб субъектам, а не ту долю ущерба оператора, которую можно прировнять к ущербу субъекта. Поясню:
Порядочный гражданин дал согласие на обработку своих ПДн маленькому автосервису, у которого он меняет масло, делает шиномонтаж и прочие мелочи. Допустим, там паспортные данные, данные водительских прав и данные о моем автомобиле. И так уж получилось, что автосервис по халатности своей допустил утечку этих данных. А через недельку у этого самого порядочного гражданина угоняют машину, которая, ко всему прочему, дорогая и взята в кредит. А машина его достаточно редкая. Конечно, здесь еще можно говорить о том, действительно ли именно утечка у автосервиса привела к угону. Но могла ведь!
Какой ущерб здесь понесет оператор-автосервис? Предупреждение либо штраф порядка 10-30 тыс.р. А теперь изучим рынок автомобилей и попытаемся найти авто за такую цену, или даже за часть от этой суммы.
Я считаю, что нельзя связывать ущерб оператора при утечке ПДн с ущербом субъекта ПДн, чьи данные утекли. Это две разные величины!
Ну, думаю идею свою я донес. Теперь перейдем к варианту оценки возможного ущерба. Буду писать пошагово и пояснять свои мысли.
1. Необходимо внутри организации провести разделение субъектов ПДн на категории. Суть в том, что у, допустим, директора компании и рядового сотрудника или той же самой уборщицы разный доход и уровень жизни. Следовательно, и транспорт они себе могут позволить разный, и квартиры в разных районах и с разной площадью. Здесь градацию можно провести по трем уровням, каждому уровню назначать свой «вес», который он оказывает на итоговый расчет:
2. Необходимо классифицировать ПДн со стороны их ценности для субъекта. Отдельно утечка ФИО никак может и не навредить, а вот утечка адреса проживания с маркой автомобиля это уже вполне возможный ущерб (смотрим на пример выше)
3. Необходимо учесть факторы статистики по кражам, угонам, ограблениям в тех районах, в которых проживают сотрудники. Думаю, их можно получить у МВД. Простая статистика, на основании которой также определять коэффициенты, влияющие на расчет.
4. Фактор страховки можно учитывать, а можно не учитывать. Это с какой стороны посмотреть:
5. Факторы морального ущерба и потери репутации. Кто-то от имени уважаемого субъекта несет чушь. Вспоминаем пост А. Лукацкого про взлом твиттера Associated Press
На основании приведенных выше шагов и полученных результатов рассчитываем возможный ущерб для каждой категории. Да, способ нетривиальный, но он даст именно то, что нужно, а именно возможный ущерб субъекту ПДн.
Пример попробуем рассчитать уже приведенный выше, коэффициенты примерные и получены методом трех П (пол-палец-потолок):
Менеджер среднего звена, живет в спокойном районе, где уровень преступности минимальный, но машина у него стоит 1,5 млн руб. Квартира стоит, допустим, 7 млн р. Опять таки, утекли данные о его авто и прописке. Но квартиру никто не унесет, но «обнести» могут. Допустим, на 500 тыс.р
Перемножим стоимость имущества на коэффициенты: 2 млн.руб х 0,7 х 0,3 х 0,6
Итого возможный ущерб чуть более 250 тысяч рублей. Вполне реальная сумма для одного субъекта. А если их у автосервиса несколько десятков-сотен?
PS. Итоговый вывод напрашивается. А может привязывать штрафы операторам не к доходу организации, а к тому ущербу, который может нанести утечка ПДн.
Хотелось бы услышать отзывы и комментарии!
