1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.
2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.
Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.
Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.
Содержание
- 0.1 Структура Политики обработки персональных данных
- 0.2 1. Общие цели
- 0.3 2. Цели сбора персональных данных
- 0.4 3. Правовые основания обработки персональных данных
- 0.5 4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
- 0.6 5. Порядок и условия обработки персональных данных
- 0.7 6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
- 0.8 Размещение Политики обработки персональных данных в офисе и на сайте
- 1 Правовое основание обработки персональных данных
- 2 Правовое основание обработки персональных данных: образец
- 3 Сведения о персональных данных
Структура Политики обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных компонентов:
- Общие положения
- Цели сбора персональных данных
- Правовые основания обработки персональных данных
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
- Порядок и условия обработки персональных данных
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:
- из анализа правовых актов, регламентирующих деятельность оператора;
- из целей фактически осуществляемой оператором деятельности;
- из деятельности, которая предусмотрена учредительными документами оператора;
- из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3. Правовые основания обработки персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.
Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
Что указывается в этом разделе:
- перечень действий, совершаемых с персональными данными;
- способы обработки персональных данных;
- сроки обработки персональных данных.
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
- пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
- указать наименование и местонахождение третьих лиц;
- обозначить цели передачи данных и их объем;
- перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).
Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.
В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.
В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.
Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.
На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.
Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.
Размещение Политики обработки персональных данных в офисе и на сайте
Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.
Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Источник: https://kontur.ru/articles/4871
Правовое основание обработки персональных данных
Операторы, занимающиеся обработкой персональных данных (ПДн), обязаны руководствоваться правовыми основаниями, позволяющими осуществлять все предусмотренные законодательными нормами действия с личной информацией граждан. Это необходимо, чтобы операторы не выходили за рамки требований, изложенных в Федеральном законе № 152 «О персональных данных».
Законодательство по обработке персональных данных
В марте 2009 года было издано Положение, регулирующее полномочия и правовое основание, которым наделяется Роскомнадзор в вопросах обработки ПДн. Важность разработки и внедрения этого Положения была вызвана необходимостью обеспечения безопасности персональных данных и прав граждан.
В законе № 152 (ст. 23 ч. 5 п. 3) указывается, что уполномоченный орган, выполняющий функцию защиты прав субъектов, обязан вести реестр всех операторов. Он получает правовое основание для обработки ПДн. В этот документ вносится информация непосредственно об операторах на основании поступающих сведений в уведомлениях.
После этого в соответствии с поданным информационным письмом заносятся все необходимые изменения в сведения, имеющиеся в этом реестре по конкретным операторам.
В реестре также должна быть зафиксирована информация о прекращении выполнения оператором процесса обработки ПДн.
Правовым основанием для выполнения этих действий является поданное заявление, которое также позволяет выдать запрашиваемую выписку из сведений, внесенных в реестр.
Ведение реестра
На официальном портале Роскомнадзора и на портале ПДн размещен исчерпывающий объем сведений по форме работы с реестром. На этих ресурсах также можно ознакомиться:
- с формой уведомления, которое будущий оператор должен составить, если он имеет намерения осуществлять обработку ПДн в правовом поле;
- с информписьмом (в виде уведомления о внесении изменений в реестр по данным об операторах);
- с формой заявления по остановке операторами обработки ПДн с указанием предусмотренного правового основания. Его образец доступен для скачивания и распечатки;
- с заявлением на получение выписок, имеющим рекомендательную форму.
Основная информация
Операторами могут являться любые органы государственного или муниципального управления, а также физлица, юрлица, обеспечивающие на правовых основаниях обработку ПДн на предприятии. Этим органам и лицам необходимо установить цели и определить содержание такой обработки.
В качестве правового основания выполнения любых действий по обработке ПДн выступают операции, совершаемые с помощью автоматизированных средств или без их применения.
Оператор может выполнять с ПДн следующие операции:
- собирать;
- записывать;
- систематизировать;
- накапливать;
- хранить;
- уточнять;
- обновлять;
- изменять;
- извлекать;
- использовать;
- передавать;
- распространять;
- предоставлять;
- создавать к ним доступ;
- обезличивать;
- блокировать;
- удалять;
- уничтожать.
Именно на эти действия уполномочен оператор при заполнении реестра.
Правовые основания
Всем организациям, учреждениям, компаниям, которые являются операторами, занимающимися сбором, обработкой, хранением ПДн, необходимо придерживаться общих требований, установленных законами России, включая требования статьи 86 ТК РФ.
Правовым основанием для обработки ПДн для компаний сельскохозяйственной отрасли, промышленных предприятий, любых других организаций является выполнение норм действующих законов и иных актов, регламентирующих эту деятельность.
В качестве целей этой обработки могут рассматриваться:
- содействие в получении работы;
- получение образования;
- повышение квалификации;
- выполнение требований по корпоративной, личной безопасности;
- обеспечение контроля качественных, количественных показателей производимой продукции и других параметров.
Все ПДн после их получения подвергаются обработке, после чего отправляются на хранение независимо от того, какие носители используются для их размещения (в бумажном или электронном вариантах).
Согласие и условия
Чтобы появились правовые основания для начала процесса обработки ПДн, работодателю нужно в обязательном порядке получить согласие от работника в письменном виде на выполнение такого рода действий.
Передавать личные сведения субъектов разрешено на различных условиях. Если письменное согласие сотрудника не предоставлено, передавать ПДн третьим сторонам не разрешается.
Исключение составляют случаи, когда существует угроза жизни и здоровью и возможны иные, прописанные в законодательных документах причины.
Запрещено использовать личную информацию сотрудника, если при этом преследуются коммерческие цели и не получено согласие от работника на возможность выполнения таких действий. Лица, которые получают личные данные, должны придерживаться полной конфиденциальности в отношении этой информации.
Иметь доступ к ПДн могут только те сотрудники, которые получили правовое основание, позволяющее им собирать, хранить, обрабатывать эту информацию. Сведения о здоровье работника могут быть запрошены только в объемах, необходимых для реализации трудовых отношений и выполнения им своих трудовых обязанностей.
Выполняя любое действие с ПДн, оператор должен придерживаться правил, предусмотренных в ТК РФ.
Обеспечение хранения и защиты персональных данных
Любая компания должна оформлять, формировать, вести и хранить информацию, в которой содержатся персональные данные. Такая работа всегда выполняется теми, кто наделен правовыми основаниями, которые должны быть занесены в должностные инструкции на предприятии. Лицо, ответственное за выполнение этой работы, назначается приказом генерального директора.
Посторонние лица не должны иметь доступа к персональной информации. Руководитель предприятия также должен утвердить список лиц, допущенных к такой деятельности, а генеральный директор должен завизировать этот документ.
Иметь постоянное право доступа к ПДн на предприятии могут лица из числа административных работников, такие как начальник, сотрудники, отвечающие за работу с персоналом, работник кадрового отдела (инспектор), инженерный персонал, ответственный за организацию и нормирование труда по структурным подразделениям.
В некоторых компаниях любые персональные данные могут потребоваться главному бухгалтеру в случае необходимости подготовки определенных документов.
Постоянный доступ к конфиденциальным данным имеет сотрудник, отвечающий за безопасность на предприятии, но только в рамках выделенных ему полномочий.
В список, который составляется на предприятии по лицам, имеющим доступ к ПДн сотрудников и выполняющим с ними определенную работу, могут быть включены другие работники. Он варьируется в соответствии с Правилами внутреннего трудового распорядка.
Возможность передачи данных
Передача ПДн любого сотрудника компании может выполняться, только если есть запрос, поданный государственными органами власти. Такими органами и организациями могут быть:
- органы правопорядка;
- МЧС;
- налоговые инстанции;
- судебные инстанции;
- органы безопасности;
- миграционная служба;
- военные комиссариаты;
- органы соцстраха;
- статистические службы;
- Пенсионный фонд и другие службы и органы.
Но следует учитывать требования законодательства во время предоставления запрашиваемых этими инстанциями документов с ПДн работников.
Необходимо получить на выполнение этих действий письменное согласие сотрудников, в отношении которых надо сформировать и передать личные данные.
Без наличия такого согласия передавать ПДн субъектов запрещено как по факсу, так и в телефонном режиме, а также по электронной почте и с использованием иных носителей. Исключение составляют случаи, указанные в законодательстве.
Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/pravovoe-osnovanie-obrabotki-personalnykh-dannykh/
Правовое основание обработки персональных данных: образец
Данные методические рекомендации приготовлены для того, чтобы разъяснить правовое основание обработки персональных данных операторам, которым предстоит осуществлять ее.
Здесь содержатся сведения, необходимые при проведении такой обработки, информация обо всех изменениях в представленных ранее положениях.
Рекомендации не только дают правовое основание обработки персональных данных, но и поясняют, почему должны быть прекращены эти действия.
Федеральный закон
С марта 2009 года существует Положение по постановлению Правительства РФ, касающееся Федеральной службы по надзору в сфере массовых коммуникаций, информационных технологий и связи, где в первом пункте Роскомнадзор получает полномочия и правовое основание обработки персональных данных для защиты прав субъектов.
https://www.youtube.com/watch?v=GZLsd4Z6s0k
В статье 23 (часть 5, пункт 3) 152-ФЗ, где говорится о персональных данных, уполномоченный орган, занимающийся защитой прав субъектов, по обязанности ведет реестр операторов. Он получает правовое основание обработки персональных данных.
Реестр включает в себя внесение сведений об операторе согласно поданному уведомлению. Далее вносятся изменения в сведения, содержащиеся в реестре об операторе согласно полученному информационному письму.
Вносятся сведения о прекращении обработки персональных данных, правовое основание – это поступившее заявление. Оно же дает право на получение выписки из реестра.
Информацию в полном объеме, касающуюся формы ведения реестра, содержит портал персональных данных и официальный сайт Роскомнадзора.
Там же можно найти рекомендованную форму уведомления о намерениях осуществления на правовом основании обработки персональных данных. Образец включен в иллюстрации к статье.
Там же находится и информационное письмо (уведомление, касающееся внесения изменений в реестр относительно сведений об операторе).
Кроме этого, среди приложений есть еще две рекомендованные формы:
- Заявление относительно прекращения со стороны оператора обработки персональных данных с правовым основанием, образец которого можно скачать и распечатать.
- Заявление на получение выписки, точно так же – в рекомендованной форме.
Сведения
Сведения об операторе, которые содержатся в реестре, общедоступны. Однако чтобы воспринять содержащуюся в реестре информацию, нужно более подробно коснуться понятийной системы. Иначе не каждому будет понятно, что писать.
Правовое основание обработки персональных данных содержит достаточное количество вопросов. Во-первых, кто такой оператор? Это государственные или муниципальные органы, физическое или юридическое лицо, которое осуществляет на правовом основании обработку персональных данных в организации.
Эти же органы или лицо должно определить цель и содержание такой обработки.
Во-вторых, что подразумевается под понятием правового основания обработки персональных данных? Руководствуясь образцом, можно довольно легко определить, что это любая операция или их совокупность, которая совершается при помощи средств автоматизации работы с персональными данными или без таковых.
Данные можно собрать, записать, систематизировать, накопить, хранить, уточнять, обновлять, изменять, извлекать, использовать, передавать, распространять, предоставлять, создать к ним доступ, обезличить, блокировать, удалять, уничтожать. Вот этим и занимается оператор при заполнении реестра.
Это очень общие сведения правового основания обработки персональных данных.
В школе и детском саду
В последние годы достаточно часто случаются конфликты сотрудников детских садов и школ с родителями, поскольку последние не согласны с тем или иным вариантом обработки персональных данных в школе.
Правовое основание для этого связано с законом, о котором было сказано выше – 152-ФЗ. Чаще всего родители просто не в курсе того, о чем там говорится. Сотрудники не могут найти с ними общий язык, потому что говорят все о разных вещах.
Здесь нужно знать пять важнейших аспектов для предотвращения всяческих недоразумений.
Во-первых, школы или ДОУ всегда являются операторами, которым дано правовое основание обработки персональных данных в ДОУ или школе. Именно операторы отвечают за безопасность всех данных.
Проблемы здесь весьма запутанные, и обычные родители, не соприкасающиеся с обработкой данных, в ней просто не разбираются, но угрозы и претензии, поступающие от них в сторону дошкольных или школьных образовательных учреждений, практически всегда далеки от адеквата.
Принципы закона
Образовательные учреждения любого уровня всегда должны обрабатывать данные родителей, учеников и преподавателей (воспитателей). Прежде всего это делается для продуктивной коммуникации.
Закон гласит, что любая информация, которая связана с конкретным человеком, обрабатывается в соответствии с поставленными целями. И это важнейший из критериев законности такой обработки. Оператор же и отвечает за их сохранность.
Общедоступные данные защиты не требуют, поскольку субъект дал разрешение на их публикацию в открытых источниках. И если это разрешение отозвано, закон требует общедоступные данные защищать.
Школьную информацию в тайне сохранить не получится. Например, ДОУ и любая школа публикует на официальных сайтах имена, отчества, фамилии, квалификационные показатели, а также данные о работе, которая ведется.
Бывают данные обезличенные, которые не позволяют без дополнительного информатора определить субъекта, к которому они относятся. Их защитить гораздо проще.
Для данных, содержащих любую медицинскую информацию (в законе перечислены виды информации помимо медицинских данных), защита осуществляется наиболее жестко.
Гражданский кодекс
Помимо 152-ФЗ, правила обработки данных устанавливает и Гражданский кодекс.
Например, родителей под подпись знакомят с основными принципами прямо при приеме ребенка в детский сад или школу и берут письменное согласие о том, что они разрешают публикацию видео- и фотоизображений ребенка, если это будет необходимо при отражении разнообразных событий образовательного процесса. Отсутствие такого согласия тем не менее не лишает учреждение правовой основы для обработки личных данных. Хотя именно такая ситуация и приносит оператору наибольшие неприятные хлопоты.
В законе есть исключения, когда согласие не требуется вообще, и это может не касаться образовательных учреждений. Например, организуется поездка с детьми. Покупаются билеты по спискам участников. Если образовательные цели преследуются, правовое основание уже присутствует.
Нужен только приказ руководства, выполненный в формулировках 152-ФЗ. Если образовательные цели не преследуются, нужно брать письменное согласие родителей или искать решение в рамках других законов.
Причем отозвать согласие на обработку личных данных субъект может совершенно в любой момент, Гражданский кодекс подтверждает это, хотя обязательно последуют какие-либо административные последствия.
Как иллюстрацию неважности письменного согласия можно рассматривать письмо от 4 марта 2015 года №03-155 Министерства образования и науки, где есть прямой ответ на вопрос о передаче личных данных в информационную систему сдачи ЕГЭ или ОГЭ из школы, где обучается ребенок. Родитель может отказаться, хотя никакого письменного согласия в данном случае и не требовалось. Однако ребенок к сдаче экзаменов допущен не будет.
Один из видов обработки данных – передача их третьим лицам, что является как раз требуемой законом защитой, которая содержит целый ряд специфических мероприятий. Федеральный закон предусматривает такие случаи конкретно.
Например, если поступает угроза здоровью или жизни людей. Относительно публикации информации в электронных классных журналах существуют ответы на проблемные вопросы в письме АК-3358/08 от 21 октября 2014 года Минобрнауки РФ.
Другие организации
Любые другие учреждения и организации, являющиеся операторами по сбору, обработке и хранению данных, так же точно выполняют общие требования, определенные законодательством РФ, в том числе и статьей 86 Трудового кодекса. Правовое основание обработки персональных данных сельхозпредприятия, промышленного объекта, в принципе, любого образования состоит только в соблюдении существующих законов и других нормативных актов.
Целью такой обработки может служить содействие в трудоустройстве, в профессиональном росте и обучении, в обеспечении безопасности личной и корпоративной, в контроле за качеством и количеством продукта деятельности и во многом еще. Все персональные данные после того, как были получены, проходят обработку и передаются на хранение на бумажных или электронных носителях (с помощью информационных систем).
Хранение и защита
Каждое предприятие, в том числе и сельскохозяйственного направления, оформляет, формирует, ведет и хранит содержащую персональные данные информацию.
И всегда эта работа выполняется теми, кто имеет на то правовое основание, зафиксированное в должностных инструкциях. Ответственный за такую деятельность назначается генеральным директором.
Допуск к информации посторонние не имеют, список допущенных к этой деятельности лиц также утверждается руководством предприятия и визируется подписью генерального директора.
Постоянное право доступа к личным данным имеют генеральный директор, администрация в лице начальника и сотрудников, отвечающих за работу с персоналом, инспектор по кадрам, инженер, отвечающий за организацию и нормирование труда в структурных подразделениях.
На некоторых предприятиях в любой момент может запросить любую персональную информацию главный бухгалтер, если необходимо подготовить определенные документы. Всегда имеет доступ к конфиденциальной информации ответственный за безопасность и его сотрудники в рамках полномочий.
Этот список варьируется в зависимости от правил врутреннего распорядка предприятия.
Передача данных
Передавать данные можно сугубо по письменному запросу государственных властных органов: в правоохранительные органы, налоговые инспекции, суды, органы безопасности, МЧС, в миграционную службу, военкоматы, органы социалного страхования, статистики, в пенсионные фонды и тому подобные.
Однако без письменного сгласия работника и этого делать нельзя ни по факсу, ни по телефону, ни по электронной почте, ни на каких носителях. Исключения содержатся в законодательстве РФ.
Источник: https://FB.ru/article/364913/pravovoe-osnovanie-obrabotki-personalnyih-dannyih-obrazets
Сведения о персональных данных
Адрес оператора
Адрес местонахождения: г. Белгород, ул. 60 лет Октября, дом 4
Почтовый адреc: 308036, г. Белгород, ул. 60 лет Октября, дом 4
Регионы:
ИНН: 3123030770
Коды: ОГРН 1023101649922; ОКВЭД 80.10.3; ОКПО 41905339; ОKФС 14; ОКОГУ 4210007; ОКОПФ 20903
Правовое основание обработки персональных данных
руководствуясь Конституцией РФ; Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»; главой 14 Трудового кодекса РФ; Федеральным законом от 29 декабря 2012 года № 273-ФЗ «Об образовании в Российской Федерации»; письмом Минобрнауки РФ от 19.09.2014 г. № 08-1316 «О внесении сведений в Реестр операторов персональных данных»
Цель обработки персональных данных
с целью ведения кадровой документации по сотрудникам оператора; учет сведений об обучающихся, их родителях (законных представителях); осуществление уставных видов деятельности
Категории персональных данных
осуществляет обработку следующих категорий персональных данных:фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; образование; профессия;
специальные категории персональных данных:
состояние здоровья
Категории субъектов, персональные данные которых обрабатываются
принадлежащих: работники, состоящие в трудовых отношениях с юридическим лицом; обучающиеся; родители (законные представители) обучающихся
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
обработка вышеуказанных персональных данных будет осуществляться путем: смешанной обработки; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
осуществление трансграничной передачи персональных данных: не осуществляется
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
— оператором назначен ответственный за организацию обработки персональных данных;
— оператором приняты документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
— осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства и принятым в соответствии с ним нормативными правовыми актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
средства обеспечения безопасности: правовые, организационные, технические
использование шифровальных (криптографических) средств: не используются
Ответственный за организацию обработки персональных данных: Журавлева Наталья Васильевна, номера контактных телефонов, почтовые адреса и адреса электронной почты: 7(4722)218-071; 308036; ул. 60 лет Октября, дом 4; zhuravleva-54@bk.ru
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: в соответствии с Постановлением Правительства РФ от 15 сентября 2008 года № 687 оператором осуществляются следующие меры по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации:
— персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков);
— при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, для каждой категории персональных данных используется отдельный материальный носитель;
— лица, осуществляющие обработку персональных данных без использования средств автоматизации проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). В соответствии с Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Дата начала обработки персональных данных: 23.01.2012
Срок или условие прекращения обработки персональных данных: при прекращении деятельности в качестве юридического лица
Источник: http://belsun.ru/?page_id=1742
Примеры
Как иллюстрацию неважности письменного согласия можно рассматривать письмо от 4 марта 2015 года №03-155 Министерства образования и науки, где есть прямой ответ на вопрос о передаче личных данных в информационную систему сдачи ЕГЭ или ОГЭ из школы, где обучается ребенок. Родитель может отказаться, хотя никакого письменного согласия в данном случае и не требовалось. Однако ребенок к сдаче экзаменов допущен не будет.
Один из видов обработки данных – передача их третьим лицам, что является как раз требуемой законом защитой, которая содержит целый ряд специфических мероприятий. Федеральный закон предусматривает такие случаи конкретно.
Например, если поступает угроза здоровью или жизни людей. Относительно публикации информации в электронных классных журналах существуют ответы на проблемные вопросы в письме АК-3358/08 от 21 октября 2014 года Минобрнауки РФ.