Lingwish.ru

Онлайн журнал
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Являются ли паспортные данные персональными данными?

Персональные данные

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Существует четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются ПДн, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо ПДн, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Разобраться в том, что такое персональные данные, какие они бывают и как используются на предприятиях, чрезвычайно важно как для субъектов, сведения о которых собираются и обрабатываются, так и для организаций, которые выполняют эти операции. Первым это необходимо, чтобы ответственно давать согласие на хранение и передачу ПДн, а также защищать свои интересы в случае несанкционированного использования и разглашения. Предприятиям понимание того, какая информация относится к персональным данным, необходимо для правильной организации их обработки, построения системы сбора и хранения ПДн и подбора эффективных мер по обеспечению их безопасности.

Почему это важно для digital-рынка?

Роскомнадзор отдельным блоком проверяет интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.

И он считает, что если вы имеете обрабатываете данные пользователей и имеете доступ к администрируемому сайту, то вы обработчик персональных данных и должны их правильно обрабатывать и защищать.

Если ничего не делать, то ваш клиент или попадёт «благодаря» вам, или проверка может затронуть лично вас.

Цель обработки персональных данных:

  1. Медико­профилактические цели, установление медицинского диагноза, оказание медицинских услуг;
  2. Реализации гражданами РФ закрепленных за ними Конституцией РФ прав на обращение в медицинские организации в установленном порядке;
  3. Обеспечение законов и иных форм нормативно­правовых актов в отношении работников Центра, содействия работникам в обучении и продвижении по работе, обеспечении личной безопасности работников, соблюдение основных государственных гарантий по оплате труда работников контроля количества и качества выполняемой работы.

Категории субъектов, персональные данные которых обрабатываются в учреждении:

  1. Лица, обратившиеся в Общество для оказания медицинских услуг.

Категории обрабатываемых персональных данных этой категории субъектов:

  • фамилия, имя, отчество,
  • дата рождения,
  • пол,
  • адрес,
  • телефон,
  • адрес электронной почты,
  • место работы,
  • паспортные данные,
  • ИНН,
  • рентгеновские снимки,
  • фотографии,
  • необходимы для планирования и осуществления лечения (протезирования).
  • Работники Общества (в рамках трудовых отношений).

    Категории обрабатываемых персональных данных этой категории субъектов:

    • идентификационный номер налогоплательщика (ИНН);
    • номер страхового свидетельства государственного пенсионного страхования;
    • иностранные языки;
    • стаж работы;
    • состав семьи;
    • паспортные данные;
    • адрес;
    • информация по воинскому учету;
    • трудовой договор;
    • назначения;
    • профессиональная аттестация;
    • повышение квалификации;
    • профессиональная переподготовка;
    • государственные и ведомственные награды, почетные звания;
    • информация об отпусках;
    • командировки;
    • больничные листы;
    • трудовая деятельность до приема на работу в клинику;
    • дата и основание выхода на пенсию;
    • имеющиеся сертификаты;
    • наличие судимостей;
    • наличие загранпаспорта;
    • выезды за границу;
    • заработная плата;
    • номер расчетного счета в банке;
    • фотографии.
  • Контрагенты Общества (в рамках заключенных договоров).

    Категории обрабатываемых персональных данных этой категории субъектов:

    • идентификационный номер налогоплательщика (ИНН);
    • фамилия, имя, отчество;
    • адрес места жительства;
    • электронный адрес;
    • контактный телефон;
    • банковские реквизиты.
    Читать еще:  Протокол проверки знаний по электробезопасности образец 2021

    • Правовое основание для обработки персональных данных: Федеральный закон от 27 июля 2006 г. № 152­ФЗ «О персональных данных»; Федеральный закон от 24 июля 1998 г. № 125­ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 21 ноября 2011 г. N 323­ФЗ «Об основах охраны здоровья граждан в Российской Федерации«; согласие работников на обработку персональных данных; заключенные договоры с контрагентами.

    Перечень действий с персональными данными

    Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в рамках трехстороннего договора, по запросу суда, на основании нормативно­правовых документов, обезличивание, блокирование, удаление, уничтожение.

    Обработка вышеуказанных персональных данных осуществляется с использованием и без использования средств автоматизации.

    Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

    1. Правовые и организационные меры безопасности персональных данных:
      в Обществе разработаны организационно­распорядительные документы, регламентирующие процесс получения, обработки, хранения, передачи и защиты персональных данных.
    2. Технические меры по обеспечению безопасности персональных данных при обработке, осуществляемой с использованием средств автоматизации:
      • блокирование несанкционированного доступа к персональным данным (установка паролей доступа на ПЭВМ, на которых осуществляется обработка персональных данных);
      • использование средств защиты персональных данных от несанкционированного доступа (системы разграничения прав доступа к информации, криптографическая защита, использование программ архивирования информации с использованием метода шифрования и кодированием передаваемых данных на ПЭВМ, обрабатывающих персональные данные; веб­интерфейс с установленными сертификатами и аутентификацией пользователя);
      • предотвращение внедрения в информационные системы вредоносных программ (программ­вирусов) и программных закладок (антивирусный пакет Microsoft Security).

      При обработке, осуществляемой без использования средств автоматизации:

      • обособление персональных данных от иной информации путем фиксации их на отдельных материальных носителях;
      • определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;
      • ограничение доступа пользователей в помещения, где хранятся носители информации;
      • размещение носителей информации, содержащих персональные данные, в пределах контролируемой зоны;
      • обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях;
      • соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов—носителей персональных данных в специально оборудованных помещениях, сейфах, металлических шкафах, установление решеток на окна, охранно­пожарной сигнализации;
      • проведение внутренней проверки безопасности информационных систем персональных данных учреждения;
      • проведение вводного и текущего инструктажей для работников учреждения, допущенных к обработке персональных данных.

    Право субъекта персональных данных на доступ к его персональным данным

    1. Субъект персональных данных имеет право на получение следующих сведений:
      • подтверждение факта обработки персональных данных оператором;
      • правовые основания и цели обработки персональных данных;
      • цели и применяемые оператором способы обработки персональных данных;
      • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
      • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
      • сроки обработки персональных данных, в том числе сроки их хранения;
      • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
      • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

      Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

    2. Указанные в пункте 1 сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
    3. Указанные в пункте 1 сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

    Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

  • В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
  • Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
  • Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
  • Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
    • обработка персональных данных, включая персональные данные, полученные в результате оперативно­разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
    • обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно­процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
    • обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
    • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
    • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    • Ответственный за организацию обработки персональных данных в ООО «Центр Дентальной имплантации» — Моржуев Андрей Александрович.

    4 невероятных факта о персональных данных

    Так что же такое ПДн? Наш предыдущий пост о персональных данных собрал довольно много комментариев. Больше всего споров развернулось вокруг вопроса о том, что именно считать персональными данными.
    Мы обещали в этом разобраться и обещание свое выполняем.

    Факт № 1. Закон не содержит конкретного перечня

    В 152-ФЗ под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    Из этого определения, нужно признать, мало что понятно.

    Факт № 2. ПДн бывают трех видов

    Факт № 3. Судебная практика по ПДн

    Опираясь на имеющуюся судебную практику, давайте разберем, что нужно относить к ПДн:

    • Фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы (Постановление по делу № А15-2016/2009 от 05.10.2010. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015. 19-й ААС).
    • Паспортные данные (см., например, Апелляционное определение Московского городского суда от 22.05.2014 № 33-14709).
      Есть решения судов, в которых указывается, что серия и номер паспорта идентифицируют бланк документа, но не физического лицо и, следовательно, не относятся к персональным данным (см. подробнее Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).
      С такими выводами трудно согласиться, так как серия и номер паспорта идентифицируют физическое лицо с легкостью.
    • Адрес электронной почты (см., например, Решение по делу № 12-253/2015 от 26.05.2015. Калининский районный суд (город Санкт-Петербург).
      При этом стоит обратить внимание, что практика и мнение Роскомнадзора относительно отнесения электронной почты к категории ПДн неоднозначны. В ряде разъяснений Роскомнадзор указывает, что адрес электронной почты, содержащий ФИО, будет отнесен к категории ПДн, а в случае если адрес представляет собой набор символов (слов), его нельзя считать персональными данными.
    • Данные технического паспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 № 33-3718).
    • Адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, Апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014).
    • Сведения о пересечении государственной границы (см., например, Апелляционное определение Московского городского суда от 10.04.2014 № 33-11688).
    • Адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренной для официальной процедуры форме (см., например, Определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14).
    • Данные работника, указанные в трудовом договоре (см., например, Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).

    Применительно к отнесению данных к персональным важно понимать еще два момента:

    1. Никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется (закон такой процедуры не предусматривает). Поэтому оператор по факту не знает вымышленные ли это данные или нет, но от обязанностей по обработке ПДн это не избавляет.
    2. Персональными данными являются только те, которые могут идентифицировать физическое лицо (см., например, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Московского городского суда от 28 января 2014 г. N 33-5461/14).

    Факт № 4. Более сложные материи

    Помимо «простых» данных, вроде имени и фамилии, часто возникают вопросы относительно более «сложных» категорий типа IP-адреса, ника или профиля в социальной сети и их определения в качестве персональных данных.
    В отнесении этих категорий персональных данных даже суды имеют разные точки зрения.

      Относительно IP-адреса в одном из судебных решений встречается довольно хороший правовой анализ «…Идентификация пользователя информационно-телекоммуникационной сети Интернет через установление его персональных данных по статическому IP-адресу, назначаемому оператором связи и постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет (при использовании статического IP-адреса все подключения пользователя всегда идентифицируются этим IP-адресом в сети связи) по своим правовым последствиям не может отличаться от случаев, когда IP-адрес назначается оператором связи пользовательскому оборудованию автоматически, на период подключения данного устройства (период сессии) к сети Интернет (динамический IP-адрес)» (Решение по делу № 2-5354/2015 от 24.09.2015. Октябрьский районный суд г. Самары (Самарская область)).

    При этом одни суды IP-адрес к ПДн не относят (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015. 13-й ААС), а другие, наоборот, признают (Решение по делу № А76-29008/2015 от 11.02.2016. АС Челябинской обл.).

    Представляется, что статичный IP-адрес справедливо относить к персональным данным, так как по нему идентифицировать пользователя легко. Но оператор не может знать, что будет являться статичным IP-адресом, в таком случае нужно признавать все IP адреса ПДн (на всякий пожарный).

  • Логин и пароль (от электронной почты или социальной сети) вызывает как раз меньше споров. Роскомнадзор неоднократно высказывался, что относить их к персональным данным нельзя.

    • Безусловно это только начало диалога о персональных данных и вопросов больше чем ответов.

    Что же касается таких космических материй как сбор информации о пользователи с помощью куков и прочих скриптов, то тут мы просим вас погодить. Товарищи, дайте же разобраться с тем что попроще! Потом уже будем надстраивать на эти ответы новые вопросы.

    Все нужна регистрация в Роскомнадзоре?

    Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

    • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
    • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
    • обработка персональных данных, находящимся в открытом доступе;
    • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
    • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
    • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.

    Во всех остальных случаях — регистрация обязательна!

    Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

    голоса
    Рейтинг статьи
    Оценка статьи:
    1 звезда2 звезды3 звезды4 звезды5 звезд
    Загрузка...
    Ссылка на основную публикацию
    Похожие публикации
    ВсеИнструменты
    © 2022 Все права защищены. Копирование материалов разрешено только при наличии активной обратной ссылки
    Adblock
    detector
    Для любых предложений по сайту: [email protected]