Персональные данные, по сути, это визитная карточка человека в окружающем мире.
3. конфиденциальность (защищённое состояние) сведений о человеке
В отличие от режима тайны конфиденциальность персональных данных не
носит абсолютный характер, поскольку при согласии субъекта персональных
данных такие данные могут распространяться и передаваться третьим лицам.
Нормативная основа правового режима
персональных данных
1. Конституция РФ
ст. 23 – устанавливает неприкосновенность частной жизни и т.д.
ст. 24 – о недопустимости распространения и сбора личной информации о
лице без его согласия
2. Конвенция Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных № 108 от 28.01.1981
РФ ратифицировала её 19.12.2001 с рядом оговорок, например:
— РФ не применяет Конвенцию к данным, обрабатываемым не в
— РФ может ограничить доступ к персональным данным для обеспечения
Работа с персональными данными в 2023 году: новые требования и оборотные штрафы
3. ФЗ «О персональных данных» — определяет общие условия правового
режима персональных данных, общие условия ответственности за их
разглашение и т.д.
Цель закона – обеспечение защиты прав и свобод ч. и гражданина при
обработке персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну.
Устанавливает предел своего действия – это отношения, связанные с
обработкой персональных данных, осуществляемой фед. ОГВ, ОГВ
субъектов РФ, юр. и физ. лицами с использованием средств автоматизации в
том числе в информационно-телекоммуникационных сетях или без
использования таких средств.
Этот ФЗ не распространяется на следующие отношения:
1) на отношения по обработке персональных данных физическими лицами
исключительно для личных и семейных нужд;
2) отношения по организации хранения, комплектования, учёта и
использования архивных документов, содержащих персональных данных
3) отношения по обработке персональных данных, отнесённых к сведениям,
составляющим гос. тайну;
4) отношения по предоставлению информации о деятельности судов в
соответствии с ФЗ «Об обеспечении доступа к информации о деятельности
4. Трудовой Кодекс РФ (отдельная глава)
5. ФЗ от 27.07.2004 N 79-ФЗ «О гос. гражданской службе» — определяет
условия обработки персональных данных и их защиты о госслужащих
6. ФЗ от 02.03.2007 N 25-ФЗ «О муниципальной службе РФ»
7. ФЗ от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в РФ» —
особенности персонального учёта при осуществлении мед. деятельности
Нормы за нарушение порядка обработки персональных данных содержатся в ст. 81 ТК РФ («разглашение конфиденциальной информации»), в статьях 13.11-13.14. КоАП и в ст. 137, 140, 272 УК РФ.
Существует целый ряд подзаконных актов, устанавливающий порядок обработки и механизм защиты персональных данных – от Роскомнадзора, ФСБ, фед. служба по технологическому экспортному контролю и Правительство РФ.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Указ Президента РФ от 30 мая 2005 г. N 609 – утвердил Положение, определяющее порядок получения, обработки, хранения, передачи и любого другого использования персональных данных гос. гражданского служащего; а также порядок ведения его личного дела.
Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных и уровне защищённости таких данных»
Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных»
Условия общего правового режима
персональных данных
Правовой режим персональных данных включает нормы права, которые определяют:
1. состав сведений, составляющих персональные данные;
2. состав субъектов деятельности в области обработки персональных данных и
их правовой статус;
3. принципы обработки персональных данных;
4. правила и условия обработки персональных данных, а также требования к
защите персональных данных при их обработке в инф. системах;
5. меры ответственности за нарушение конфиденциальности персональных
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие (операция) или
(ст. 3 ФЗ «О персональных данных») совокупность действий (операций),
совершаемых с использованием
средств автоматизации или без
использования таких средств с
персональными данными, включая
сбор, запись, систематизацию,
накопление, хранение, уточнение,
извлечение, использование, передачу,
удаление и уничтожение персональных
С помощью этого термина объединяются все формы действий или операций со сведениями, составляющими персональные данные.
Закон не содержит указаний на исчерпывающий характер состава сведений.
Но можно выделить отдельные виды персональных данных:
I. Общедоступные персональные данные:
ФИО, год и место рождения, адрес, абонентский номер, сведения о
профессии и иные персональные данные, сообщаемые субъектам
Они могут включаться в общедоступные источники персональных данных, в
том числе в справочники и в адресные книги только с письменного согласия
субъекта персональных данных.
II. Спец. категории персональных данных:
сведения, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных или философских убеждений,
состояния здоровья, особенности интимной жизни. Обработка таких
сведений не допускается за исключением случаев, предусмотренных
1) когда субъект п.д. дал письменное согласие на обработку данных;
2) когда данные сделаны общедоступными самим субъектом п.д.
III. Биометрические персональные данные
сведения, характеризующие физические и биологические особенности
человека, на основании которых можно установить его личность. Такие
сведения используются оператором для установления личности субъекта
п.д. и могут обрабатываться только при наличии письменного согласия.
ФЗ «Об основах охраны здоровья» содержит перечень сведений персонального характера о лицах, которым оказываются мед. услуги.
Субъектный характер отношений п.д.
Субъектами деятельности в области обработки п.д. являются:
1. Субъект п.д. – физ. лица, которым принадлежат сведения, составляющие
2. Оператор п.д. – гос. или муниц. орган, юр. или физ. лицо самостоятельно
или совместно с др. лицами организующее и (или)
осуществляющее обработку п.д., а также определяющее
цели обработки п.д., состав п.д., подлежащих обработке,
действия и операции, совершаемые с п.д.
3. Лица, ответственные за организацию обработки п.д. в организации –
работники гос. или муниц. органа, юр. или физ. лица, назначенные
оператором в рамках осуществления трудовых функций по организации
4. пользователь – работники гос. или муниц. органов, юр. или физ. лиц,
которые в силу своих трудовых функций допущены к
сведениям, составляющим персональные данные.
5. иные лица, действующие по поручению оператора и (или) с согласия
6. уполномоченный орган по защите прав субъекта п.д. – ФОИВ,
осуществляющий функции в сфере инф. технологий и связи, на который
возглавляется обеспечение контроля и надзора за соответствием обработки
п.д. требованиям, установленным ФЗ «О персональных данных» — это
Принципы обработки п.д.
1. Законность и справедливость обработки п.д.
2. Целесообразность обработки п.д. – обработка п.д. должна ограничиваться
достижением конкретных заранее
определённых и законных целей.
3. Распределённость п.д. – не допускается объединение баз данных,
содержащих п.д., не совместимые между собой.
4. Достаточность и точность обработки п.д.
Источник: studfile.net
ИБ2.0
Апелляционное определение Волгоградского областного суда от 24.04.2014 по делу N 33-4427/2014 В удовлетворении заявления о признании незаконным представления прокурора об устранении нарушений законодательства о защите персональных данных отказано, так как оспариваемое представление прокурора вынесено в адрес истца в соответствии с законом и в пределах его компетенции.
Адрес места жительства ИП (он же адрес регистрации ИП и адрес осуществления деятельности ИП) — персональные данные, доступ к которым ограничен законом (см. п.5 ст.6 ФЗ от 8 августа 2001 г. N 129-ФЗ ).
То есть CRMки, где хранятся только «юрики», это, скорее всего, ИСПДн. Их нужно переносить в Россию и защищать по всем нормам 152-фз.
на вторник, сентября 22, 2015 Ярлыки: ПДн
4 комментария:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому ФИЗИЧЕСКОМУ ЛИЦУ (субъекту персональных данных, ст.3 152-ФЗ).
Индивидуальные предприниматели — ФИЗИЧЕСКИЕ ЛИЦА, зарегистрированные в установленном порядке и осуществляющие предпринимательскую деятельность без образования юридического лица, главы крестьянских (фермерских) хозяйств. (Ст. 11 Налогового кодекса).
Отсюда следует, что ИП к «юрикам» никакого отношения не имеют. А защищать ПДн ИП, да, нужно, т.к. не все сведения об ИП, которые содержаться в едином государственном реестре индивидуальных предпринимателей являются общедоступными.ИМХО Ответить Удалить
Многие считали (и это отчасти подтверждается тем же судебным делом), что сведения об ИП — это реквизиты фирмы, необходимые для заключения договоров, а не ПДн.
Даже формулировка «общедоступные ПДн» в таком случае не устраивала, ибо не позволяла уйти целиком от требований 152-фз.
Теперь вот, кажется, поставлена точка в этом вопросе. Удалить
Источник: www.itsec.pro
Защита персональных данных для ИП без наемных работников: требования и документы
«Я работаю как ИП без наемных работников. Я хотел бы знать, распространяется ли на меня закон о защите персональных данных? Мне также интересно, какие документы необходимы для обеспечения защиты персональных данных в моей деятельности?»
| Руслан , Москва
Ответы юристов (1)
Казаков Валентин Юрист,
Москва На сайте: 1577 дня
Ответов: 2698 Рейтинг: 8
Закон о защите персональных данных распространяется на всех субъектов, осуществляющих обработку персональных данных, включая индивидуальных предпринимателей (ИП), независимо от наличия у них наемных работников.
Как ИП, вам необходимо подготовить следующие документы для защиты персональных данных:
- Политику обработки персональных данных;
- Согласия на обработку персональных данных (если вы собираете персональные данные у своих клиентов, партнеров или других субъектов);
- Договора на обработку персональных данных (если вы передаете данные третьим лицам для их обработки);
- Уведомление о начале обработки персональных данных (если ваша деятельность необходимо уведомить Роскомнадзор).
Кроме того, вам необходимо создать и поддерживать на вашей стороне соответствующую техническую и организационную защиту персональных данных.
#2801998 2022-10-19 22:28:07
Казаков Валентин Юрист,
Москва На сайте: 1577 дня
Ответов: 2698 Рейтинг: 8
Для защиты персональных данных в первую очередь необходимо убедиться в том, что у вас есть обработка данных. Если вы обрабатываете какую-то личную информацию клиентов, то закон о защите персональных данных распространяется и на ваше ИП.
Вам необходимо провести анализ сбора и обработки персональных данных на основании которого составить «Положение об обработке персональных данных» для вашей ИП. Однако, если вы не собираете, не храните и не передаете персональные данные, то вам не нужно уведомлять Роскомнадзор и составлять вышеуказанное Положение.
Необходимо также убедиться в том, что вы соответствуете всем требованиям закона о защите персональных данных, включая защиту от несанкционированного доступа, обеспечение конфиденциальности, актуальности и точности данных, и т.д.
Кроме того, если у вас есть взаимодействие с третьими лицами, например, с контрагентами, вам могут потребоваться дополнительные документы, такие как согласия на обработку персональных данных, договоры конфиденциальности и т.д.
Конечно, для подробного ответа на ваш вопрос следует провести детальный анализ ваших конкретных обстоятельств. Мои рекомендации не являются юридическими консультациями и не могут заменить индивидуальное обращение к юристу.
#2904628 2022-10-19 22:28:07
Казаков Валентин Юрист,
Москва На сайте: 1577 дня
Ответов: 2698 Рейтинг: 8
На данный вопрос применимы следующие статьи закона:
Статья 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) – «Сфера применения настоящего Федерального закона».
Статья 18 Закона о персональных данных – «Обязанности оператора по обеспечению безопасности персональных данных».
Статья 19 Закона о персональных данных – «Требования к защите персональных данных при их обработке в информационных системах персональных данных».
Статья 22 Закона о персональных данных – «Права субъекта персональных данных».
Документы, которые ИП должен подготовить для защиты персональных данных: — Политика обработки персональных данных. — Согласие субъектов персональных данных на обработку их персональных данных. — Договор с оператором обработки персональных данных (если обработка персональных данных осуществляется третьей стороной). — Журнал учета обращений субъектов персональных данных. — Аудиторский отчет по оценке соответствия процедур обработки персональных данных требованиям законодательства.
Источник: prav.io