Обмен персональными данными

Вся информация на в статье на тему: "Обмен персональными данными". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Обмен персональными данными

Министерство цифрового развития, связи и массовых коммуникаций (Минкомсвязь) предложило изменить правила использования Единой системы идентификации и аутентификации (ЕСИА), обязав органы власти предоставлять в нее актуальную информацию о гражданах в течение суток. Об этом говорится в подготовленном ведомством проекте постановления правительства. Копия документа есть у РБК, ее подлинность подтвердил представитель Минкомсвязи.

В текущей версии правил госорганы также обязаны оперативно предоставлять данные, но при наличии технической возможности. Министерство предложило убрать эту оговорку, поскольку на практике она препятствует поддержанию информации в ЕСИА в актуальном состоянии и не позволяет пользователям системы (включая органы госвласти, банки и др.) «оперировать достоверными и достаточными сведениями о действительности паспорта физического лица на дату обращения, а также иными сведениями», говорится в пояснительной записке к проекту.

В сопроводительном письме замглавы Минкомсвязи Максим Паршин указал, что проект постановления помимо заявленных целей «позволит обеспечить реализацию мероприятий, предусмотренных в рамках концепции и архитектуры цифрового профиля — ЕСИА 2.0».

ЕСИА позволяет гражданам и госорганам оперативно получать персональную информацию из государственных информационных систем, например через сайт госуслуг. Цифровой профиль — логическое продолжение этой системы (иногда его называют «ЕСИА 2.0»). На платформе будут храниться основные данные граждан (паспорт, СНИЛС, ИНН), а также ссылки на данные из государственных информационных систем. Предполагается, что цифровой профиль сведет к минимуму бумажный оборот: гражданин сможет получить всю информацию о себе на сайтах госуслуг и предоставить к ней онлайн-доступ ведомствам и коммерческим компаниям. Например, он сможет оформить банковский кредит, используя лишь электронный обмен информацией. В июле группа сенаторов внесла в Госдуму законопроект, который вводит понятие цифрового профиля. Документ пока не рассматривался, но в ноябре его раскритиковала ФСБ, указав на высокие риски утечки персональных данных, которые будут храниться в одном месте.

Сегодня государственные органы технически не готовы к внедрению цифрового профиля, пояснил источник РБК в аппарате правительства. «Если бы они были готовы, цифровой профиль был бы не нужен, это не самоцель. Обмен данными в режиме реального времени между федеральными органами исполнительной власти и гражданами — вот цель. Цифровой профиль служит инструментом ее достижения», — объяснил собеседник РБК.

Почему пока невозможен переход на мгновенный обмен данными с госорганами — в материале РБК.

Что нужно для обмена информацией онлайн

В пояснительной записке к проекту изменения правил ЕСИА указано, что для его реализации потребуется модернизация ведомственных информационных систем. Каких, не уточняется, но среди тех, кто согласовывал проект, были МВД, ФНС, Минфин, Минобороны, Минтруд, Минпросвещения и Росреестр. В своих замечаниях к документу в Минтруде (есть у РБК) указали, что «согласование проекта постановления невозможно ввиду существенного увеличения нагрузки, превышающей расчетные параметры» на инфраструктуру информационных систем Пенсионного фонда при передаче сведений в ЕСИА. Большинство замечаний к документу со стороны других ведомств также сводятся к тому, что там не указаны источники финансирования модернизации информационных систем.

Наиболее проблемным ведомством, тормозящим передачу данных, считается МВД, сообщили опрошенные РБК эксперты. «Известно, что подтверждение паспортных данных, например для операторов связи, через ЕСИА не работает в полной мере, поскольку текущие базы МВД не рассчитаны на такую нагрузку. Проекты модернизации систем МВД и других ведомств есть, но они до сих пор слабо увязаны между собой», — рассказал ведущий аналитик Российской ассоциации электронных коммуникаций.

МВД в своих замечаниях указало, что считает публикацию постановления до завершения разработки цифрового профиля и модернизации информационных систем несвоевременной. Минкомсвязь в ответ рекомендовала ведомству рассмотреть вариант доработки информационной системы с ФГУП «НИИ «Восход». Представитель предприятия отказался комментировать не утвержденный правительством проект. РБК направил запрос в МВД.

Начальник управления методологического сопровождения работы с данными Аналитического центра при правительстве Александр Малахов говорит, что не все государственные информационные системы развиты одинаково и у некоторых нет технической готовности к обмену. «Иногда нет самих информационных систем или они находятся в разрозненном состоянии: до внедрения единого госреестра ЗАГС в каждом субъекте была своя информационная система», — приводит он пример.

Представитель Минкомсвязи сообщил, что там в ближайшее время внесут проект постановления в правительство вместе с таблицей разногласий.

Кто будет финансировать модернизацию систем

По словам представителя Минкомсвязи, размер затрат на модернизацию должны будут определить сами ведомства, а работы будут финансироваться из их бюджетов. Чтобы они успели обновить свои информационные системы, срок вступления постановления в силу перенесли с 1 января на 1 сентября 2020 года.

Никто из участвовавших в согласовании проекта ведомств не ответил РБК на вопрос, потребуется ли модернизация и во сколько она обойдется. Представитель Минтруда лишь заявил, что сегодня данные о СНИЛС передаются в ЕСИА в течение 60 секунд, а представитель Росреестра, что он не входит в список ведомств, предоставляющих данные в режиме реального времени. Представитель ФНС заявил, что со службой проект постановления не согласовывался.

Развитие цифрового профиля в том числе предусмотрено в федеральном проекте «Цифровое госуправление» национальной программы «Цифровая экономика». На создание «платформы идентификации, включающей биометрическую идентификацию, облачную квалифицированную электронную подпись, цифровые профили гражданина и юридического лица, а также единое пространство доверия электронной подписи на базе ЕСИА», до 2024 года предлагается выделить 4,5 млрд руб.

Читайте так же:  Следователь по делам несовершеннолетних все о профессии

Зачем нужен мгновенный обмен данными

На днях премьер Дмитрий Медведев поручил обеспечить принятие закона о создании и использовании инфраструктуры цифрового профиля до 1 июля 2020 года. В марте Паршин заявил, что полноценный запуск платформы цифрового профиля планируется в конце 2020 года. Он говорил, что цифровой профиль заменит электронный паспорт в большинстве случаев, когда при получении услуги не нужно предъявлять документы. Как пояснил РБК заместитель гендиректора АНО «Цифровая экономика» Дмитрий Тер-Степанов, данные в цифровом профиле должны быть полностью актуальными в момент совершения юридически значимых действий (финансовых операций, оказания государственных услуг), например «в целях подтверждения правоспособности лица для этих действий». «Для этого необходимо онлайн-обновление и взаимодействие со стороны ведомств при его корректировке и выдаче данных», — считает он.

«У ведомств есть свои налаженные процессы, которые они не хотят интегрировать с ЕСИА, — продолжает директор АНО «Информационная культура» Иван Бегтин. — Например, сегодня справки о судимости, которые нужны при трудоустройстве, в частности, преподавателей в вуз, МВД готовит в течение 30 дней. Если появится регулярно обновляющийся цифровой профиль, в который сразу будет вноситься информация о появлении или погашении судимости, это приведет к ненужности многих системных операций в МВД».

«Сейчас существует проблема в принципе актуализации данных в цифровом профиле, так как эту информацию указывает гражданин, — добавил Малахов. — Гражданин может ошибиться, может забыть старую учетную запись и вместо восстановления зарегистрировать новую, может забыть актуализировать информацию о себе. Эти проблемы приводят к невозможности оказания проактивных услуг, реализации суперсервисов, автоматизации процессов оказания услуг и полного избавления от дополнительных справок».

Какие именно данные ведомства будут передавать в ЕСИА, Минкомсвязь определит по итогам эксперимента по повышению качества и связности данных, содержащихся в государственных информационных ресурсах. Среди задач эксперимента — разработка инфраструктуры цифрового профиля и апробация его функциональных возможностей при автоматическом заполнении анкеты на кредит. В эксперименте также предложили поучаствовать ЦИК для автоматического сбора сведений об избирателях. Эксперимент должен завершиться в первом квартале 2020 года.

Источник: http://www.rbc.ru/newspaper/2019/12/11/5dee6b1c9a794757c7137684

Обмен персональными данными

Индивидуальный предприниматель Куценко Артем Андреевич оказывает информационные услуги (генерация лидов) по заказу Клиента через виртуальную площадку leadsgood.ru. Присоединяясь к правилам, Клиент принимает на себя все перечисленные в документе обязанности, гарантирует добросовестное пользование предоставленными правами и несет ответственность за допущенные нарушения. Моментом присоединения является совершение конклюдентных действий, выражающихся в заполнении электронной заявки.

  • 1 ТЕРМИНОЛОГИЯ
    • 1.1 Оператор – ИП Куценко Артем Андреевич
    • 1.2 Сайт – leadsgood.ru
    • 1.3 Клиент – организация или индивидуальный предприниматель, зарегистрированный на территории Российской Федерации в соответствии с действующим законодательством и наделенный правом на осуществление кредитной или микрофинансовой деятельности. Клиентами признаются правоспособные участники гражданского оборота, акцептировавшие публичную оферту на Сайте. В роли Клиента могут выступать также кредитные брокеры, инвестиционные компании, ломбарды. Условием приобретения статуса Клиента является законность деятельности в сфере кредитования.
    • 1.4 Пользователь – потенциальные заемщики, обратившиеся к сервисам ИП Куценко А.А. и подписавшие согласие на обработку и передачу персональных данных.
    • 1.5 Лид – заявка на кредит, заем, сопутствующую услугу Клиента, оставленная пользователем на сайтах, принадлежащих ИП Куценко А.А. .
    • 1.6 Договор – соглашение, заключенное между Оператором и Клиентом, о предоставлении услуг по генерации лидов.

  • 3 ОБЯЗАННОСТИ И ПРАВА СТОРОН
    • 3.1 Права Клиента
      • 3.1.1 Получать сгенерированные сервисами Оператора лиды с учетом действующих программ кредитования в сроки и объемах, согласованных Договором.
      • 3.1.2 Получать, хранить, систематизировать, обезличивать, уничтожать и обрабатывать персональные данные Пользователей с целью предоставления кредита, займа или оказания сопутствующей услуги.
      • 3.1.3 Клиент имеет право работать с персональными данными всеми способами, предусмотренными законами 152-ФЗ от 27.07.2006 и 218-ФЗ от 30.12.2004 гг. Исключение составляет пункт о передаче персональных сведений третьим лицам. Клиент не вправе передавать полученные от Оператора сведения партнерам, не вовлеченным в процесс предоставления кредита, займа и (или) сопутствующей услуги конкретному Пользователю. Если персональные данные Пользователя передаются третьему лицу, Клиент обязан обеспечить выполнение таковым положений настоящих правил.
  • 3.3 Права Оператора
    • 3.3.1 В рамках Договора Оператор вправе работать с информацией Клиента о кредитных продуктах, программах предоставления займов и оказании сопутствующих услуг. Оператор может свободно и безвозмездно передавать такие сведения Пользователям. Оператору разрешается распространять сведения в той форме, в которой они были предоставлены Клиентом (без искажений, дополнений, исправлений). Информирование Пользователей о продуктах в сокращенной форме допускается.
    • 3.3.2 Оператор самостоятельно определяет перечень персональных данных Пользователя, передаваемых Клиенту в составе лида. Оператор оставляет за собой право отказать Клиенту в выдаче дополнительной информации о Пользователе.
    • 3.3.3 Оператор вправе контролировать соблюдение Клиентом настоящих правил, в том числе в части уничтожения персональных данных по требованию Пользователя.
    • 3.3.4 Оператор вправе потребовать от Клиента возврата персональных данных, их копий, а также подтверждения в письменной форме прекращения обработки сведений о Пользователе, за исключением информации, указанной в законе 115-ФЗ от 07.08.2001.
    • 3.3.5 Оператор вправе приостановить обслуживание по Договору в случае нарушения Клиентом настоящих правил.
  • 3.4 Обязанности Оператора
    • 3.4.1 В рамках Договора Оператор обязан генерировать лиды от Пользователей, предоставивших письменное согласие на обработку своих персональных данных.
    • 3.4.2 Оператор обязан использовать в генерации лидов персональные данные, полученные законным путем и с одобрения Пользователей.
    • 3.4.3 Оператор обязан обеспечивать конфиденциальность и надежную защиту персональных данных в процессе обслуживания Клиента.
    • 3.4.4 Оператор обязан информировать Пользователей о праве Клиента отклонить заявку на предоставление кредита, займа и (или) сопутствующей услуги.
  • 3.5 Оператор и Клиент исполняют иные обязанности по обеспечению законной обработки персональных данных, предусмотренные законом 152-ФЗ от 27.07.2006 года.
  • 4 ГРАНИЦЫ ОТВЕТСТВЕННОСТИ
    • 4.1 Клиент несет ответственность перед Пользователем и Оператором за нарушение правил обращения с персональными данными. Клиент отвечает за неправомерные действия своих штатных и внештатных сотрудников. Клиент отвечает за утечку персональных данных, возникшую в результате нарушения требований к их защите. Оператор не несет ответственности за нарушения, допущенные Клиентом и его работниками.
    • 4.2 Оператор и Клиент не несут ответственности за действия друг друга, противоречащие настоящим правилам и Договору.
    • 4.3 Клиент и Оператор не несут ответственности за разглашение персональных сведений Пользователя, если таковые присутствуют в общедоступных источниках. Условие действует, если информация о Пользователе стала открытой не в результате противоправных действий третьих лиц.
    Читайте так же:  Жалобы адвокатов на меру пресечения
  • Источник: http://leadsgood.ru/privacy-policy/

    5 шагов по организации учета и хранения персональных данных

    Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

    Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

    Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

    Какие данные являются персональными

    Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

    К общим персональным данным можно отнести следующие сведения:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • адрес (место регистрации);
    • образование, профессия;
    • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
    • семейное положение, наличие детей, родственные связи;
    • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
    • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
    • деловые и иные личные качества, которые носят оценочный характер;
    • прочие сведения, которые могут идентифицировать человека.

    Кроме того, в Законе о персональных данных упоминаются:

    • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
    • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

    Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

    • в паспорте или ином документе, удостоверяющем личность;
    • трудовой книжке;
    • документах о воинском учете, образовании, составе семьи;
    • справке о доходах с предыдущего места работы;
    • анкете, заполняемой при трудоустройстве;
    • личной карточке работника (форма Т-2);
    • свидетельствах о заключении брака, рождении ребенка;
    • медицинских справках и др.

    У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

    Обработка персональных данных

    Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

    Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

    В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

    1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

    В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

    • цели получения персональных данных работника у третьего лица;
    • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
    • способы получения данных, их характер;
    • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

    Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    Читайте так же:  Измененное исковое заявление

    Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

    2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

    3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

    При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

    Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

    1. из документов (сведений), предъявляемых при заключении трудового договора;
    2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
    3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
    4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
    5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

    Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

    Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

    Организация учета и хранения персональных данных

    Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

    Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

    Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

    Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

    Видео (кликните для воспроизведения).

    В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

    Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

    Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

    Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

    Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

    • заявления работников о согласии на обработку персональных данных;
    • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
    • журнал проверок наличия документов, содержащих персональные данные работника.
    Читайте так же:  Ленинский районный суд официальный сайт госпошлина

    Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

    Подведем итоги

    Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

    • от всех ли работников получено согласие на обработку персональных данных;
    • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
    • должным ли образом осуществляется хранение и защита персональных данных;
    • соответствует ли документация об их обработке требованиям законодательства и т.д.

    Источник: http://school.kontur.ru/publications/1583

    Персональные данные: «соломка» для кадровика

    «Знал бы, где упаду, соломку бы подстелил», — с таким же ощущением сегодня ждут проверки Роскомнадзора. Однако, к счастью для кадровиков, есть человек, который знает типичные нарушения закона № 152-ФЗ и требования контролирующих органов к кадровой службе. Сегодня Александр Цыкарев расскажет, как избежать нарушений ФЗ-152 и, как следствие, предписаний и штрафов.

    Александр Цыкарев, руководитель проектов по защите информации компании СКБ Контур.

    Места хранения

    Во-первых, нужно определиться с местами хранения личных дел сотрудников и других документов, содержащих персональные данные сотрудников (например, трудовые договора и карточки учета). Необходимо составить перечень таких «хранилищ» и утвердить его приказом по организации.

    Во-вторых, хранить вышеназванные документы следует таким образом, чтобы исключить несанкционированный доступ к ним сотрудников, в чьи функциональные обязанности не входит обработка ПДн, а также посторонних лиц. Для хранения данных документов необходимо использовать запираемые на ключ помещения, ящики, шкафы, сейфы и т д. Конкретных требований к надежности таких «хранилищ» на данный момент нет.

    Избыточная информация

    При работе с ПДн важно обрабатывать только ту информацию, которая необходима для выполнения целей. Избыточные персональные данные (например, подробные сведения о родственниках сотрудника) необходимо удалять путем вымарывания, вычеркивания и т п. Мероприятия, которые можно проводить для удаления ПДн с бумажных носителей, подробнее описаны в Постановлении Правительства № 687.

    Также представители Роскомнадзора негативно относятся к хранению в личных делах копий паспортов, водительских удостоверений (если сотрудник не выполняет обязанности водителя), т.к. их наличие в кадровой службе не регламентировано ни одним законодательным актом. Проще отказаться от использования копий данных документов и пользоваться просто паспортными данными, чем потом доказывать проверяющему законность хранения копий.

    Базы резюме

    Дополнительную проблему создает хранение резюме соискателей. Вообще хранение и обработка таких резюме находится на грани соответствия ФЗ «О персональных данных», что признают и сами представители Роскомнадзора. Поэтому, если хранение резюме не является для вашей организации необходимостью, то проще их удалить и тем самым избежать рисков, связанных с их обработкой. В противном случае необходимо применение дополнительных организационно-распорядительных, а в ряде случаев и технических мер.

    Работающие с персданными

    Сотрудники, в чьи функциональные обязанности входит работа с персональными данными, а это практически все сотрудники отдела кадров, должны быть допущены к обработке персональных данных отдельным приказом «О доступе к персональным данным». В нем указывается Ф.И.О. сотрудника, его должность, можно также указать характер обработки (автоматизированная/неавтоматизированная), но это не является обязательным.

    Помимо этого необходимо вести журнал учета лиц, допущенных к обработке ПДн. Отличие от сведений, представленных в приказе «О доступе к персональным данным», заключается в указании даты начала предоставления доступа к ПДн и даты прекращения данного доступа (например, при увольнении сотрудника или переходе в другой отдел).

    Также с вышеперечисленных сотрудников необходимо взять «Обязательство о неразглашении информации конфиденциального характера», к которой как раз и относятся персональные данные сотрудников.

    Формы приказов, журналов, обязательств обычно разрабатываются сотрудниками, ответственными за защиту ПДн в организации, либо юридическим отделом.

    Одно из самых частых нарушений — использование неучтенных носителей информации (дискет и флешек). Нельзя подключать к компьютерам отдела кадров все подряд флеш-накопители. Согласно требованию Постановления Правительства №781, все отчуждаемые носители информации должны быть учтены в специальном журнале. Т.е. все флешки сотрудников отдела кадров необходимо записать в отдельный журнал, в котором указываются модели и серийные (либо инвентарные) номера.

    Большинство нарушений, выявляемых в ходе проверок контролирующими органами в кадровой службе, связаны с нарушением правил обработки и хранения персональных данных на бумаге.

    Источник: http://kontur.ru/articles/2128

    Как соблюсти требования 152-ФЗ, защитить персональные данные своих клиентов и не наступить на наши грабли

    По российским законам любая компания, работающая с личными данными своих пользователей в России, становится оператором ПДн, хочет она того или нет. Это накладывает на нее ряд формальных и процедурных обязательств, которые не каждый бизнес может или хочет нести самостоятельно.

    Как показывает практика – совершенно правильно не хочет, потому что эта область знаний еще настолько новая и не обкатанная на практике, что сложности и вопросы возникают даже у профессионалов. Сегодня мы расскажем о том, как реализовывали проект под хранение персональных данных для нашего заказчика и с какими неочевидными сложностями столкнулись.

    Как мы помогали защитить данные по 152-ФЗ

    В начале 2019 года к нам обратилась компания ООО «Смарт-Сервис», разработчик платформы для управления сервисным обслуживанием HubEx и приложения для обмена контактами myQRcards.

    Читайте так же:  Верховный суд прием жалоб

    Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин. Второе – онлайн-конструктор для создания электронных визитных карточек на базе QR-кодов.


    Онлайн-визитка myQRcards.

    Обе системы хранят и обрабатывают данные пользователей, подпадающие под классификацию «персональных» в соответствии с 152-ФЗ. В этом случае закон диктует ряд ограничений к системам хранения таких персональных данных для того, чтобы обеспечить требуемый уровень их защищенности и исключить риск несанкционированного доступа с целью хищения или неправомерного использования.

    Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

    КАК УСТРОЕНО ЗАЩИЩЕННОЕ ОБЛАКО

    Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:

    • доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
    • серверы хранения и обработки данных должны находиться под постоянным мониторингом антивирусной защитой на отсутствие уязвимостей;
    • СХД должен быть расположен в изолированных сетях.

    Мы размещаем серверные мощности заказчика в отдельных зонах, удовлетворяющих требованиям 152-ФЗ, и помогаем получить заключение о соответствии.


    Архитектура защищенной виртуальной инфраструктуры для ООО «Смарт Сервис».

    Ход работ

    Первично согласование работ было произведено в июне 2019 года, что можно считать датой начала проекта. Все работы должны быть производиться на «живом» окружении с тысячами запросов в день. Естественно, требовалось выполнить проект, не прерывая штатный режим работы обеих систем.

    Поэтому был составлен и согласован четкий план действий, разделенный на 4 этапа:

    • подготовка,
    • миграция,
    • тестирование и проверка в реальных условиях,
    • включение систем мониторинга и ограничения доступа.

    На всякий случай мы предусмотрели процедуру восстановления в случае непредвиденной ситуации (DRP). По первоначальному плану работы не занимали много времени и ресурсов и должны были завершиться в июле 2019. Каждый из этапов предусматривал в конце полное тестирование сетевой доступности и функциональности систем.

    Самым сложным этапом, в котором могло «что-то пойти не так», была миграция. Изначально мы планировали проводить миграцию путем переноса виртуальных машин целиком. Это был самый логичный вариант, поскольку он не требовал вовлечения дополнительных ресурсов для переконфигурирования. Казалось бы, что может быть проще vMotion.

    Нежданно-негаданно

    Однако, как обычно бывает на проектах в относительно новой области, случилось то, чего не ждали.

    Поскольку каждая виртуальная машина занимает 500 — 1 000 ГБ, копирование таких объемов даже в рамках одного дата-центра заняло около 3-4 часов на каждую машину. Как итог, мы не уложились в отведенное временное окно. Это произошло по причине физических ограничений дисковой подсистемы при переносе данных в vCloud.

    Баг используемой версии vCloud не позволил организовать Storage vMotion в отношении виртуальной машины с разными типами дисков, поэтому диски пришлось менять. В результате перенести виртуальные машины получилось, но это заняло больше времени, чем планировалось.

    Второй момент, который мы не предусмотрели, — ограничения по перемещению кластера БД (Failover Cluster MS SQLServer). В результате пришлось перевести кластер в работу с одним узлом и оставить его за рамками защищенной зоны.

    Примечательно: по до сих пор непонятной причине в результате переноса виртуальных машин рассыпался кластер приложений, и его пришлось собирать заново.

    В результате первой попытки мы получили неудовлетворительное состояние систем и вынуждены были заново браться за планирование и проработку вариантов.

    Попытка №2

    Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

    В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

    Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

    Результативный исход и полезный урок

    В итоге, совместными усилиями вместе с заказчиком удалось внести значительные изменения в существующую серверную инфраструктуру, что позволило повысить надежность и защищенность хранения ПДн, существенно снизить риски несанкционированного доступа к ним, получить аттестат выполнения требований к хранению — достижение, к которому пришли еще далеко не все разработчики аналогичного ПО.

    Видео (кликните для воспроизведения).

    В сухом остатке комплекс работ по проекту выглядел так:

    1. Организована выделенная подсеть;
    2. Суммарно мигрировано два кластера, состоящих из пяти виртуальных машин: Failover кластер баз данных (две виртуальные машины), Service Fabric кластер приложений (три виртуальные машины);
    3. Произведены настройки систем защиты и шифрования данных.

    Выглядит вроде бы все понятно и логично. На практике же все оказывается немного сложнее. Мы еще раз убедились, что при работе с каждой отдельной задачей такого плана требуется высочайший уровень внимания к «мелочам», которые на поверку оказываются никакими не мелочами, а определяющими факторами успеха всего проекта.


    Источник: http://habr.com/post/480086/
    Обмен персональными данными
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here