Презентация Современное делопроизводство. Нормативные основы. Персональные данные онлайн

Содержание слайда: Современное делопроизводство Нормативные основы (продолжение)

Содержание слайда: Федеральный закон № 152-ФЗ Федеральный закон "О персональных данных" от 27 июля 2006 г. N 152 регулирует отношения, связанные с обработкой персональных данных использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Положения Закона, детально прописывают принципы обработки персональных данных, условия, категории персональных данных, меры по обеспечению безопасности и конфиденциальности.

Содержание слайда: Разрешение на обработку персональных данных Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Государство регулирует сферу персональных данных посредством целого ряда нормативных актов.

Содержание слайда: Персональные данные (ст. 3 ФЗ 152) Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Этот термин означает сведения, напрямую или косвенно характеризующие субъекта персональных данных — физическое лицо. Т.е. по ним можно точно определить, что речь идет о конкретном человеке.

Содержание слайда: Персональные данные Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 Основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

Содержание слайда: Использование персональных данных ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку персональных данных при оформлении заявок на кредит, заполнении анкет или поступлении на работу. Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника.

Содержание слайда: Особые правила Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда персональные данные: получают для личных или семейных нужд, если это не ущемляет права 3-х лиц; содержатся в архивных документах; составляют государствен- ную тайну; собираются по судебному акту.

Содержание слайда: Другие источники Другие законодательные акты уточняют положения о персональных данных применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Данная информация должна использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Содержание слайда: Классификация персональных данных ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами: обезличенные; общие; биометрические; специальные.

Содержание слайда: Общие персональные данные Общие персональные данные — это основная информация о человеке. К ним относят: ФИО; место прописки и проживания; паспортные данные; образование; ИНН; контактные данные; сведения о работе; размер доходов и т. д.

Содержание слайда: Номер телефона и персональные данные Не всю информацию о человеке по отдельности можно отнести к персональным данным. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру телефона невозможно точно идентифицировать человека. Сам по себе номер телефона не персонален, а в связке с ФИО владельца и городом проживания относится к персональным данным. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Содержание слайда: Общие персональные данные Общие персональные данные содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам персональных данных — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Содержание слайда: Биометрические данные Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Содержание слайда: Специальные персональные данные Специальные персональные данные: раса, национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д. Специальные персональные данные требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Содержание слайда: Обезличенные персональные данные Обезличенные персональные данные доступны для любого заинтересованного лица. Источниками информации могут быть: адресные книжки; справочники; реестры; СМИ. Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

Содержание слайда: Big Data В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы. Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение персональные данные. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Содержание слайда: Big Data Big Data – это не только сами данные, но и технологии их обработки и использования, методы поиска необходимой информации в больших массивах. Проблема больших данных по-прежнему остается открытой и жизненно важной для любых систем, десятилетиями накапливающих самую разнообразную информацию.

Содержание слайда: Big Data - примеры В качестве примера типичного источника больших данных можно привести социальные сети – каждый профиль или публичная страница представляет собой одну маленькую каплю в никак не структурированном океане информации. Причем независимо от количества хранящихся в том или ином профиле сведений взаимодействие с каждым из пользователей должно быть максимально быстрым.

Содержание слайда: Big Data – массивы информации Большие данные непрерывно накапливаются практически в любой сфере человеческой жизни. Сюда входит любая отрасль, связанная либо с человеческими взаимодействиями, либо с вычислениями. Это и социальные медиа, и медицина, и банковская сфера, а также системы устройств, получающие многочисленные результаты ежедневных вычислений. 

Содержание слайда: Обработка персональных данных Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них: сбор; уточнение; систематизация; использование; удаление; хранение.

Содержание слайда: Способы обработки Для совершения действий с личной информацией применяются несколько способов:  Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Содержание слайда: Примерная форма оформления согласия и описание документа Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются: должность руководителя и наименование организации, которую он возглавляет; ФИО руководителя; должность работника; ФИО работника; дата; место составления.

Содержание слайда: Примерный текст документа «Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях». Под текстом заявления работник ставит свою подпись.

Содержание слайда: Отказ от обработки персональных данных Возможен ли отказ от обработки персональных данных с позиции закона? По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Содержание слайда: Отсутствие согласия Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Содержание слайда: Отказ от обработки данных Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия может повлечь за собой невозможность выполнения трудовых функций.

Содержание слайда: Турфирма и соблюдение ФЗ-152 1.     Компания должна быть поставлена на учет в Роскомнадзор и получить статус оператора персональных данных. 2.     На серверах компании, где хранятся данные, должно быть установлено сертифицированное антивирусное программное обеспечение. 3.     Компания должна собирать согласия на обработку персональных данных с клиентов в бумажном или электронном виде в зависимости от формата деятельности. 4.     Вся внутренняя документация должна соответствовать стандартам ФЗ-152.

Содержание слайда: ФЗ-152 и турбизнес В 2011 году — в июле вступило в силу положение о том, что информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями этого закона не позднее 1 июля 2011 года. И несмотря на многочисленные разъяснения со стороны уполномоченных ведомств, это нововведение было достаточно сложным для большинства участников туррынка.

Содержание слайда: Внедрение инноваций Специалисты Роскомнадзора, а также эксперты турбизнеса отметили, что для турагентств (которые в соответствии с законом являются непосредственными операторами персональных данных) закон вводит главным образом две инновации:  во-первых, с туриста надо взять письменное согласие на обработку его персональных данных,  во-вторых, об обработке нужно уведомить Роскомнадзор. Проведенный на портале TurProfi.ru опрос свидетельствовал: лишь немногие агентства озаботились тем, чтобы внести изменения в работу с персональными данными своих туристов. Самым популярным ответом на вопрос, что же сделали турагентства в связи с новым законом, оказался тезис «Ничего не сделали, а разве что-то изменилось?».

Содержание слайда:

Содержание слайда: Мнение Роскомнадзора «При наличии соответствующих оснований — таких как передача персональных данных сторонней организации, в том числе находящейся на территории иностранного государства, — согласие туриста на обработку его персональных данных оператором берется еще на этапе заключения соответствующего договора». М. Воробьев, помощник руководителя Роскомнадзора (в 2011 году)

Содержание слайда: Рекомендации Роскомнадзора Участникам турбизнеса Роскомнадзор рекомендует ознакомиться с методическими материалами по основным вопросам организации обработки персональных данных  на сайте Управления (раздел «Персональные данные» — «Методические рекомендации»).

Содержание слайда: Косультации надзорного ведомства В Управлении Роскомнадзора совместно с управлением Федеральной службы по техническому контролю по УрФО принимают участие в заседаниях, которые проводят министерства и ведомства Свердловской области, а также различные образовательные учреждения.  «На занятиях до слушателей доводятся материалы, связанные с требованием законодательства в области персональных данных, методические рекомендации по организации обработки персональных данных, способам защиты, форма необходимых документов, рассматриваются практические ситуации и даются рекомендации по их правильному решению», — рассказали TurProfi.ru в Управлении Роскомнадзора по Свердловской области.

Содержание слайда: Делопроизводство в турфирме Для защиты персональных данных необходимо соблюсти следующие требования. 1. Зарегистрироваться как оператор персональных данных в специальном реестре операторов персональных данных. Избежать регистрации можно только в том случае, если персональные данные обрабатываются в связи с заключением договора, стороной которого является субъект персональных данных, или если персональные данные являются общедоступными персональными данными. 2. Ввести в действие приказом по турфирме «Положение об обработке и защите персональных данных клиентов» – основной документ, определяющий какие персональные данные, с какими целями и в течение какого срока обрабатывает турфирма.

Содержание слайда: Делопроизводство. Продолжение 3. Создать административно-распорядительные документы, определяющие права и обязанности сотрудников по работе с персональными данными: - приказ об утверждении списка лиц, обрабатывающих персональные данные; - приказ о назначении лица, ответственного за организацию мер по защите персональных данных; - приказ об утверждении мест хранения материальных носителей персональных данных; - книгу учета обращений субъектов персональных данных об обработке их персональных данных.

Содержание слайда: 3 шага для обработки данных По мнению Российского Союза Туриндустрии и ряда юристов для небольших турагентств  существует три шага, которые реально и необходимо предпринять: 

Содержание слайда: 1 шаг Прописать в договоре пункт, в котором говорится о согласии туриста предоставить свои данные для обработки. Договор рекомендуется построить таким образом, что турист сам приходит за услугой, т. е. выступает инициатором, и предоставляет вместе с этим определенные персональные данные для выполнения договора (ст. 22 ФЗ «О персональных данных»).

Содержание слайда: 2 шаг  Разработать собственное Положение о защите персональных данных, руководствуясь нормами закона. А именно: создать локальный нормативный акт, в котором говорится о способах обработки и хранения ПД туристов. Это положение может показаться формальностью, как, допустим, Книга жалоб, но систематизация всех мер в одно положение станет хорошим подспорьем в случае проверки уполномоченным ведомством.

Содержание слайда: 3 шаг Назначить ответственное лицо и в приказе расписать меры, принимаемые организацией по защите персональных данных. Это может быть внутренний приказ, который утверждает соблюдение сотрудниками турфирмы норм законодательства, связанных с защитой персональных данных (с них берется подпись), кроме того, назначается ответственный сотрудник, который контролирует работу с клиентской базой.

Содержание слайда: Пункт о персональных данных в договоре, мнение юриста «В формулировке этого пункта договора или дополнительного соглашения стоит обязательно отметить, что турист проинформирован турфирмой о том, что его персональные данные запрошены исключительно в связи с необходимостью забронировать тур, инициатором чего стал непосредственно сам турист, — рекомендует Евгений Албул, юрист, практикующий в сфере туризма. —  И затем нужно обозначить, что в  рамках действующего договора турист предоставляет данные в объеме, достаточном для работы по конкретному туру: паспортные данные, номер сотового телефона и др.».

Содержание слайда: Внедрение ФЗ-152, продолжение… Несмотря на то что ФЗ «О персональных данных» был принят еще в 2006 году, по данным Роскомнадзора в 2017 году, в Москве и Московской области требование закона выполнили лишь 1 % организаций туротрасли. Эксперты рынка полагают, что такая инертность вызвана отчасти и самим ведомством: проверяют редко и не всех, а размер штрафа вполне по зубам даже небольшой компании.

Содержание слайда: Отвественность за нарушения С 1 июля 2017 года Роскомнадзор начал самостоятельно штрафовать нарушителей и контролировать сбор. Изменилась и сама система штрафов. Во-первых, их размер увеличился в десятки раз. Во-вторых, поправки в статью 13.11 КоАП по поводу нарушений закона «О персональных данных» штрафы разделили по видам нарушений. Например, если на сайте компании, собирающей персональные данные (допустим, через систему бронирования или другим способом), не размещена информация о политике конфиденциальности, штраф составит 30 тыс. рублей для юрлица и 10 тыс. – для ИП. За обработку персональных данных без подписанного согласия клиента штраф увеличился до 75 тыс. рублей.

Содержание слайда: Плановые проверки проверки деятельности туроператоров проводятся в соответствии с планом, утвержденным раз в год (он размечается в конце предыдущего года на  сайте Управления Роскомнадзора по Свердловской области), и согласованым с областной прокуратурой.

Содержание слайда: Внеплановые проверки Внеплановые проверки проводятся на следующих основаниях: — истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных; — поступления в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из СМИ о фактах возникновения угрозы причинения вреда жизни, здоровью граждан, а также причинение вреда жизни, здоровью граждан.

Содержание слайда: Информирование о проверке «О внеплановой проверке юридическое или физическое лицо (ИП) оповещается за день до ее начала, — добавила руководитель Свердловского отделения Роскомнадзора Марина Гвоздецкая. — И отсутствие регистрации в реестре операторов, ведущих обработку персональных данных, не является препятствием для соответствующей проверки». План проверок и результаты проверок публикуются на сайте Роскомнадзора.

Содержание слайда: Как это было… «Наших инспекторов интересовало, как хранятся данные и документы. Проверяли, запаролены ли компьютеры, лицензионное ли программное обеспечение, наличие подписи сотрудников под тем, что они обязуются не разглашать персональные данные клиентов», — приводит слова сотрудницы одного из агентств портал Tourdom.ru. В ходе проверки выяснился один достаточно спорный момент: ни в одном договоре с ТО не было пункта, который в полной мере отражал бы обязанности ТО охранять персональные данные туриста в соответствии с ФЗ 152. «Но московский офис Роскомнадзора разъяснил региональным проверяющим, что четких инструкций по применению данного закона в турдеятельности пока нет, и рекомендовал заключить с ТО допсоглашение «О защите персональных данных туриста», что мы быстренько и сделали, благо юристы у туроператоров, с которыми работаем, пошли навстречу», — цитирует Tourdom.ru слова турагента.

Содержание слайда: Трансграничная передача персональных данных Все туристические организации, отправляющие клиентов за границу, так или иначе осуществляют передачу персональных данных за рубеж, то есть осуществляют так называемую трансграничную передачу персональных данных. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Таким образом, это информация на бронирование в гостиницу, передача списков туристов, которых надо встретить, данные в организации, проводящие экскурсии и т. д. Согласно закону, персональные данные должны передаваться на территорию государства, в котором «обеспечивается адекватная защита прав субъектов персональных данных».

Содержание слайда: п.3 ст. 12 Закона №132-ФЗ В соответствии с п.3 ст. 12 Закона №132-ФЗ: «Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных». В целях принятия организационных мер по обеспечению защиты передаваемых персональных данных своих клиентов любой оператор персональных данных может вносить изменения в договоры со своими партнерами, обязательства по которым включают передачу персональных данных.

Содержание слайда: Защита персональных данных Такие изменения могут содержать принимаемые дополнительные обязательства по конфиденциальности передаваемой информации, а также описания применяемых технических и организационных мер, направленных на реализацию принимаемых обязательств. Рекомендуется включать в договор с иностранным партнером положения, обеспечивающие защиту персональных данных туриста при трансграничной передаче его данных. В частности, подтверждение того, что в его государстве обеспечивается защита персональных данных, а также что иностранный партнер обязуется обеспечивать защиту передаваемых ему данных.

Содержание слайда: Мировая практика Защите персональных данных в мировой практике уделяется огромное внимание В 1990 году была принята резолюция ООН о защите персональных данных. Есть конвенция Совета Европы 1981 года, ее подписало большинство европейских государств, для них этот документ обязателен и должен приниматься во внимание при разработке внутреннего законодательства. Существует также директива Европейского Сообщества 1995 года, которая касается защиты данных. Каковы требования, предъявляемые к стране, принимающей информацию?

Содержание слайда: Принципы передачи инфрмации Первое требование - это целенаправленная передача информации. Оно означает, что экспорт информации возможен только тогда, когда установлено, что страна, принимающая информацию, действительно будет использовать эти сведения только для определенных целей. Второй принцип - качество информации и ее относимость. Относимость информации означает, что сведения должны обрабатываться и передаваться за границу только в том объеме, который необходим для осуществления конкретной заявленной цели.

Содержание слайда: Принципы передачи инфрмации Третий принцип - прозрачность, ясность. Например, сведения о перемещении туристов из России в другую страну и из другой страны в Россию должны быть абсолютно ясны по своей структуре как для той стороны, которая передает информацию, так и для принимающей информацию стороны. Четвертый принцип - надежность и безопасность данных. Должны быть предусмотрены технико-организационные мероприятия, обеспечивающие сохранность информации. Это касается в первую очередь компьютерной передачи информации.

Содержание слайда: Принципы передачи инфрмации Пятый принцип связан с доступом к полученной информации. Стандарты защиты информации по европейскому праву подразумевают, что в стране, принимающей информацию, к этой информации допускается только тот, кому она была предназначена. Последний принцип - это ограничение дальнейшей передачи информации, то есть из страны-получателя в некие третьи страны.

Содержание слайда: Гарантии Адресаты переданной в страну-получатель информации должны гарантировать, что она не будет передана в третьи страны, либо должен быть заключен соответствующий договор и тщательно изучено состояние законодательства по защите персональных данных и информации в этой стране. На практике это означает, что, имея договор с организацией-туроператором, зарегистрированной, например, на Кипре, российский туроператор должен отслеживать порядок передачи информации о туристе в отель на Багамских островах, который бронирует для туриста кипрский туроператор. И иметь гарантии соблюдения законодательства о защите персональных данных при такой передаче.

Содержание слайда: Использованные материалы Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных« http://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/ https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh http://www.tourbus.ru/article/2213.html https://www.hotline.travel/zakonotvorchestvo/roskomnadzor-ustroit-oblavu-na-turbiznes/ http://profi.travel/articles/19405/details

Содержание слайда: Спасибо за внимание!