Цели, задачи и принципы осуществления политики защиты персональных данных
Содержание:
- Пошаговая инструкция
- Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?
- Условия и принципы обработки персональных данных по 152-ФЗ
- Пошаговая инструкция
- Работа оператора с ПД сотрудников и других физических лиц
- Суть правового документа № 152
- Что такое?
- Организация неавтоматизированной обработки персональных данных
- Что это такое?
- Согласие субъекта – тонкости и особенности
- Принципы
- Матрица доступа
- Согласие и условия
Пошаговая инструкция
Правила, цели и нормы обработки персональных данных определены главой 2 Федерального закона №125 от 27.07.2006г. (ред. 29.07.2017г.). Пошаговый процесс обработки индивидуальной информации работника включает в себя следующие этапы:
- Получение персональной информации о конкретном, принимаемом на работу, сотруднике.
- Занесение учетных данных в соответствующие документы или электронную базу.
- Обработка имеющихся сведений автоматизированным либо ручным способом.
- Хранение данных с периодическим обновлением и уточнением (подробнее о порядке хранения и использования персональных данных работников на бумажных и электронных носителях читайте в этом материале).
- Правомерное извлечение информации, ее использование и передача.
- Блокировка сведений или их уничтожение.
Правовой контроль за работой с индивидуальными данными включает в себя регулирование всех процессов и стадий работы с ними.
- Скачать бланк заявления на обработку персональных данных
- Скачать положение о порядке обработки персональных данных
- Скачать бланк приказа об утверждении положения обработки персональных данных работника
Подробнее о заявлении на обработку и на другие операции с персональными данными работника узнайте тут.
Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?
Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:
-
получены от работников;
-
получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;
-
являются общедоступными ПДн;
-
включают только ФИО субъектов ПДн;
-
нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
-
включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
-
обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление. На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией. Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм. Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое. Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.
Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте. При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг. Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.
Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору. Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:
Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:
- обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
- используете специализированные компьютерные программы для обработки сведений о работниках;
- применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.
В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.
Конкретные ситуации, когда требуются от компании действия по защите персональных данных, получение согласия и т.п.:
-
Для использования фотографий на пропусках, нужно письменное согласие гражданина. Эту позицию, озвученную Роскомнадзором еще в 2013 году, подтвердил ВС РФ в от 05.03.2018 г. Если согласие не оформить, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. руб.
-
Перечень третьих лиц, которым будут передаваться ПДн, должен быть конкретным. Иными словами, если вы хотите кому-то передавать данные своих работников или клиентов, то позаботьтесь заранее о том, чтобы включить в согласие или оферту сведения о своих партнёрах, подрядчиках, заказчика и т.п.
-
Для установления видеонаблюдения за работником на рабочем месте в обязательном порядке требуется его письменное согласие, но лучше это «согласие получить» сразу, указывая особенности работы в трудовом договоре или в Положении о внутреннем трудовом распорядке (ПВТР).
-
Заблаговременное размещение графических и\или текстовых предупреждений о возможной фото-, видеосъемке в публичных местах, установленных администрацией помещения и\или организатором мероприятия (свадьба, концерт, ночной клуб), исключает необходимость получения согласий от каждого из посетителей.
Условия и принципы обработки персональных данных по 152-ФЗ
Главные тезисы процесса обработки по № 152- ФЗ «О персональных данных» — законность и справедливость. Регламент жестко требует соответствия целей характеру обрабатываемых данных:
Заранее определите конечные задачи обработки ПДн, совпадающие с законодательными установками. Все действия с личными сведениями прекращаются по достижении намеченного результата. Если обработка персональной информации противоречит или не совпадает с целью сбора данных — она незаконна.
Если обрабатываются разнородные массивы сведений с разными задачами, их интеграция недопустима.
Непозволительно собирать чрезмерное количество персданных относительно задекларированной цели
Важно соблюдать соразмерность сути и объема ПД в сравнении с объявленным результатом.
Необходимо соблюдение точности — закон 152-ФЗ указывает, что количество сведений должно быть достаточным для работы. Требование актуальности ПДн относительно цели соблюдайте при необходимости.
Если по форме ПДн можно установить субъекта, закон требует хранить такие сведения не дольше, чем требуется для получения результата их обработки. Это условие устанавливается, если отдельным законом, договором, в котором владелец ПД поручитель, выгодоприобретатель или сторона не определено другое время хранения.
Важно!Когда результат обработки конфиденциальных сведений о субъекте достигнут или потребность в дальнейших операциях отпала, искомые сведения уничтожают или обезличивают.
Статья, устанавливающая принципы обработки — ст. 5 закона 152-ФЗ о персональных сведениях.
Пошаговая инструкция
Разработка нормативного акта, регулирующего процесс обработки ПД.
Назначение ответственных за работу с информацией лиц.
Информирование ответственных лиц о факте обработки ими конфиденциальной информации, их обязанностях, функциях и запрещенных действиях.
Разработка помещения для хранения конфиденциальных данных, журнала (при необходимости), бланков, специальных форм или материальных носителей.
Взятие у субъектов ПД разрешения на обработку информации.
Фиксация данных на материальном носителе (при этом, важно обеспечить выполнение норматив относительно хранения таких данных – чтобы конфиденциальные сведения хранились отдельно от информации, собранной с иными целями).
Обработка данных.
Уничтожение или обезличивание сведений после завершения работы с данными.
Работа оператора с ПД сотрудников и других физических лиц
Для эффективной работы каждой организации-оператора всегда требуется определять набор персональных данных граждан, работников, клиентов, посетителей. Эти сведения постоянно собираются у субъектов персональных данных или выбираются из иных законных источников. При этом оператор должен уведомить субъекта о целях сбора информации о нем и получить его письменное согласие на сбор.
Обработка персональной информации граждан является законной в следующих случаях:
- если получено письменное разрешение лица на обрабатывание его личных данных;
- если это необходимо для надлежащего исполнения оператором своих функций;
- для осуществления правосудия;
- для получения государственной услуги;
- с целью оформления и исполнения договора;
- для защиты жизни и здоровья физлица;
- с целью реализации легитимных требований операторов или их клиентов, в случае ненарушения прав субъектов ПД;
- профессиональной работы журналистов, СМИ при соблюдении законных прав субъекта этой информации;
- статистических и других исследований, с обязательным соблюдением условия по обезличиванию собранной информации;
- если ПД стали общедоступными благодаря самому субъекту;
- когда ПД подлежат публикации или непременному открытию ввиду требований закона.
Долгом оператора является обеспечение конфиденциальности личной информации, если другое не предусмотрено законом.
Принципы и условия обрабатывания оператором личных данных
- Обрабатывание ПД реализовывается на законной основе.
- Должны быть определены точные цели обрабатывания личных данных и перечисление необходимых данных для реализации этих целей.
- Для каждой цели или совместимой группы целей нужно создавать отдельную базу данных (БД). Объединять базы данных, если их цели несовместимы, недопустимо.
- ПД должны быть точными, полными и актуальными для данных целей.
- Когда эти данные больше не нужны, они уничтожаются операторами в течение пяти лет или отдаются в архив, если это предусмотрено законом.
Обязанности оператора
- Зарегистрироваться в Реестре операторов персональных данных Роскомнадзора, заявив о целях собирания и обрабатывания ПД.
- Получить письменное разрешение субъекта на обрабатывание его персональной информации, если другое не предусмотрено законом.
- Обеспечить должную защиту обрабатываемых и хранимых ПД.
- Давать ответ на запрос субъекта о составе его персональных данных в предусмотренный законом срок.
- Уничтожать ПД или передавать в архив в течение пяти лет, если надобность в них исчезла.
- Информировать субъекта о причине отказа от предоставления персональных данных.
Особенности работы с ПД при оформлении личных дел работников предприятия
Порядок оформления личных дел сотрудников действующим законодательством не нормирован. Работодатель имеет право на хранение в личном деле сотрудников копии его документов, если соблюдены такие условия:
- службой кадров принято согласие от сотрудника на хранение и обработку его персональных данных;
- персональные данные обрабатываются в целях лучшей организации производства, соблюдения требований нормативных актов, помощи работникам при трудоустройстве, определения уровня их специальных знаний, повышения квалификации, обеспечения надлежащей сохранности персональных данных;
- объем ПД не избыточен для должной работы данного учреждения.
Обработка ПД, которые не предусмотрены законодательством, сбор нецелевых личных данных, работа с персональными данными без письменного согласия гражданина влекут за собой предупреждение проверяющих органов или штраф.
Применение фотографий зачислено в категорию обрабатывания биометрических ПД, поэтому на такие действия нужно письменное согласие субъекта персональных данных.
Порядок оформления личного дела и возможный состав персональных данных:
- содержание личного дела;
- заявление о приеме на работу;
- приказ о приеме на работу;
- анкета;
- автобиография и резюме;
- копии дипломов;
- трудовой договор;
- представления к переводам на другую должность;
- приказы о переводах;
- внесение изменений персональных данных;
- документация об аттестации сотрудника;
- заявления персонала;
- документы о здоровье;
- фото;
- приказ о поощрении и взыскании;
- копии паспортных данных;
- копии карточек ПФР;
- индивидуальные налоговые номера;
- копии военных билетов;
- документы о заключении брака;
- документы о рождении детей;
- списки научных работ, изобретений;
- характеристики и отзывы.
Суть правового документа № 152
Порядок обработки и защиты персональных данных (ПДН) регулируется актуальным на 2021 год ФЗ № 152. Подобная процедура предусмотрена в отношении материалов передаваемых в формате online и offline.
Основные положения
В качестве основного органа, на которого возложены полномочия проверки, является Роскомнадзор
Учреждение не принимает в учет состояние технического оборудования и средств, а обращает внимание на основания для ПДН:
- цель сбора;
- объем;
- период хранения;
- наличие на сайте политики конфиденциальности;
- сбор согласия на передачу и обработку третьей стороной.
ФЗ № 152 о согласии на обработку персональных данных был разработан в 2006 г., однако наиболее существенные корректировки были внесены спустя 12 мес. Так, меры ужесточения были внесены в отношении ответственности, а также изменениям подверглись требования и правила хранения информации. В 2021 г. эта редакция федерального акта остается в силе.
В настоящей статье № 3 части № 1 установлено, что под ПДН подразумевается любой тип информации, которая косвенно или прямо относятся к конкретному гражданину. В подобных ситуациях человек представляется, как субъект персональных материалов.
Последние изменения
Корректировки в отношении ответственности операторов, занимающихся анализом, сбором и хранением личных материалов, были внесены в 2018 г. В соответствии с частью № 5 статьи № 6 оператор обязан:
- Нести ответственность за переработку сведений и осуществление надлежащего уровня защиты согласно действующему законодательству России.
- Порядок проведения контроля за действиями человека или юридического лица, устанавливается самостоятельно.
В связи с этим, если оператор привлекает к работе по ПДН третью сторону, то за их нарушения несет ответственность.
Важно! К примеру, если владелец сайта передал права на продвижение портала подрядчику, а тот в свою очередь сделал рассылку СПАМа, то правовые последствия коснуться только заказчика подобных услуг
Исключения из правил по обработке личных данных
ст. № 22 п. № 2 настоящего Федерального закона
- переработка ИСПДН для личных нужд, в том числе семьи;
- необходимость продиктована соблюдением ТК России;
- информация передана по итогам подписания контракта и применяется для его реализации, но при этом не подлежит передаче другой стороне;
- материалы относятся к членам или представителям социальных и религиозных организаций, действующих в рамках закона, но при условии, что информация не будет передаваться сторонним лицам;
- субъект в самостоятельном порядке сделал личные сведения доступными;
- при условии, что информация содержит только Ф. И. И. субъекта;
- в качестве разового пропуска на территорию объекта работы оператора ИСПДН;
- если информация внесена в госсистему для сохранения конфиденциальности и проведения мер безопасности;
- когда сверка сведений происходит вручную в рамках нормативных актов;
- переработка, предусмотренная транспортной безопасностью, в том числе для предупреждения угрозы работы общественных ТС.
Что такое?
Неавтоматизированные методы
Аппараты, устройства, используемые для работы со сведениями персонального характера с участием человека называются неавтоматизированными. Они призваны обеспечить работу с информацией, ее хранение, уточнение, извлечение или уничтожение, при этом, не могут служить инструментами компьютеризации данных и не позволяют работать с большими массивами информации – операция со сведениями каждого субъекта ПД проводится отдельно и вручную оператором.
Учет личной информации такими способами
Определение обработки ПДн неавтоматизированного типа находим в Постановлении Правительства РФ от 15 сентября 2008 года № 678 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования инструментов автоматизации» (а о том, что такое автоматизированная обработка персональных данных, читайте тут). В документе указано, под ручной работой с ведомостями подразумевается один из процессов, например, использование, уточнение, распространение, обезличивание или уничтожение информации при непосредственном участии человека.
В этом же постановлении находим следующее уточнение: процесс не признается автоматизированным только на основании того, что сведения (ПДн) содержатся или извлекаются из информационной системы.
На практике у операторов ПД довольно часто возникают проблемы с тем, к какому виду отнести ту или иную операцию с информацией. Ведь компьютеры – авто-инструменты – используются практически постоянно, ими оснащены рабочие места. При этом, использовать такую технику можно по разному – иногда человек контролирует каждую операцию, а иногда вычислительная аппаратура справляется сама. Своеобразную точку в этом деле можно поставить, вернувшись к Постановлению правительства №678.
Организация неавтоматизированной обработки персональных данных
Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) — действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.
Цитирую части положения о неавтоматизированной обработке ПДн:
Персональные данные при их обработкедолжны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных
Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы
Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.
Лица, осуществляющие обработку персональных данныхдолжны быть проинформированы о факте обработки ими персональных данных
Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.
Использование типовых форм документов, содержащих персональные данные
При использовании типовых форм документовдолжны соблюдаться следующие условиятиповая форма или связанные с ней документыдолжны содержать сведения о цели обработки персональных данныхадрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными даннымитиповая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данныхпри необходимости получения письменного согласия на обработку персональных данныхчтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данныхтиповая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы
Ведение журналов, реестров, книг при организации пропускного режима
При ведении журналовдолжны соблюдаться следующие условиянеобходимость ведениядолжна быть предусмотрена актом операторакопирование содержащейся в таких журналах (реестрах, книгах) информации не допускаетсяперсональные данныемогут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта
О несовместимости целей обработки и уничтожении персональных данных
При несовместимости целей обработки персональных данныхдолжны быть приняты меры по обеспечению раздельной обработки персональных данныхпри необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копированиеспособом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованиюпри необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированиюУничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способомудаление, вымарываниеПравилаприменяютсяесли необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными даннымиУточнение персональных данныхпроизводится путем обновления или изменения данных на материальном носителепутем изготовления нового материального носителя с уточненными персональными данными
Что это такое?
Средства автоматизации. Под средствами автоматизации понимаются приборы, устройства, которые могут использоваться как по отдельности, так и в совокупности, способные выполнять ряд поставленных задач без вмешательства человека, однако, возможно, под его руководством.Наиболее распространенными в наши дни средствами автообработки являются программно-аппаратные устройства – компьютеры и программное обеспечение
При этом, важно понимать, что компьютер становится средством только после того, как на нем осуществляются автооперации.Если компьютер используется в качестве печатной машинки без дальнейшего сохранения на диске данных, то такое техническое средство не следует называть автоматизированным (хотя подобные возможности оно имеет) в контексте.
Автоматизированная обработка. Компьютерная обработка данных – это обработка информации при помощи вычислительной техники, другими словами, с использованием средств компьютеризации
Речь идет об электронных машинах, вспомогательных устройствах, программном обеспечении и других аппаратах.
Согласие субъекта – тонкости и особенности
Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом
Но и здесь не обходится без нюансов. Как показывает практика, наиболее частым способом выражения согласия являются конгруэнтные действия, когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.
Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?
В этом случае регулятор хочет видеть дисклеймер, который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.
В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:
- Включение персональных данных в общедоступные источники.
- Обработка специальных категорий персональных данных.
- Обработка биометрических персональных данных.
- Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов.
- Принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:
- Распространение персональных данных членов (участников) общественного объединения или религиозной организации.
- Передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.
Принципы
Статья 5 Федерального закона №125-ФЗ от 27.07.2006г. (ред. От 29.07.2017г.) «О персональных данных» описывает принципы работы с информацией. Основные принципы:
- Личная информация работников должна обрабатываться согласно действующему законодательству.
- Индивидуальные сведения граждан могут использоваться только для достижения определенных целей, находящихся в рамках закона.
- Объем и суть персональных данных, взятых для обработки, должны соответствовать поставленным целям, без затрагивания избыточных сведений, не нужных для решения существующего вопроса.
- Нельзя объединять базы данных, наполненные персональными сведениями, используемыми для достижения несовместимых целей.
- В процессе работы с личной информацией должна обеспечиваться точность данных, достаточность, актуальность в отношении поставленных руководителем целей.
СПРАВКА. Ответственное лицо обязано принять меры по уточнению неполных сведений, если выявлена их недостаточность для достижения поставленной задачи. - Хранить персональные данные следует до тех пор, пока они требуются для обработки с какой-либо целью, если иной промежуток времени не утвержден законодательно либо договором с выгодополучателем.
- Сведения должны содержаться в форме, позволяющей без труда распознать субъекта, к которому они относятся.
Когда необходимость в обработке некоторых данных пропадает, их следует обезличить либо вовсе уничтожить.
Матрица доступа
Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.
Доступы бывают следующие:
- К чтению.
- Для записи.
- На исполнение и другие.
Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.
Действия регламентируются и фиксируются в матрице:
- R – чтение.
- CR – создание объекта.
- W – запись внутри объекта.
- D – избавление от объекта.
- Знак «+» определяет доступность для конкретного субъекта.
- Знак «-» определяет недоступность для субъекта.
Состояние информационной системы будет считаться безопасным, если, согласно ее политике, субъекты имеют право только на определенные виды доступа к объектам и предусматривается запрет доступа.
На примере предприятия объектами будут:
- Технические средства, обрабатывающие, принимающие и передающие информацию.
- Коммерческая тайна.
- Личные данные клиентов.
- ПДн работников.
- Документация.
- Личные дела сотрудников.
- Электронные БД персонала и клиентуры.
- Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
- Средства защиты данных: антивирусы, сигнализационная система и др.
- Личные данные бывших сотрудников и клиентов.
В роли субъектов доступа к данным выступают:
- Директор (S1).
- Главбух (S2).
- Специалист (S3).
Согласие и условия
Чтобы появились правовые основания для начала процесса обработки ПДн, работодателю нужно в обязательном порядке получить согласие от работника в письменном виде на выполнение такого рода действий. Передавать личные сведения субъектов разрешено на различных условиях. Если письменное согласие сотрудника не предоставлено, передавать ПДн третьим сторонам не разрешается. Исключение составляют случаи, когда существует угроза жизни и здоровью и возможны иные, прописанные в законодательных документах причины.
Запрещено использовать личную информацию сотрудника, если при этом преследуются коммерческие цели и не получено согласие от работника на возможность выполнения таких действий. Лица, которые получают личные данные, должны придерживаться полной конфиденциальности в отношении этой информации.
Иметь доступ к ПДн могут только те сотрудники, которые получили правовое основание, позволяющее им собирать, хранить, обрабатывать эту информацию. Сведения о здоровье работника могут быть запрошены только в объемах, необходимых для реализации трудовых отношений и выполнения им своих трудовых обязанностей.
Выполняя любое действие с ПДн, оператор должен придерживаться правил, предусмотренных в ТК РФ.