Персональные данные

Соотношение требований в области персональных данных, установленных Трудовым кодексом Российской Федерации (ТК РФ) и Законом о персональных данных?: Если говорить кратко, то требования Закона и ТК РФ не противоречат друг другу. Закон выдвигает общие требования, направленные на обеспечение защиты прав и свобод человека и гражданина (Ст.2 Закона), а ТК РФ определяет некоторые особенности обработки персональных данных применительно к трудовым отношениям. В частности, он оперирует с понятием не просто «персональные данные», а именно «персональные данные работника» (ст. 85ТК РФ), конкретизирует обязанности работодателя при обработке и передаче таких данных, дает определенные гарантии работнику. В этом смысле требования главы 14 ТК РФ надо рассматривать, как дополнительные («отраслевые») требования по отношению к Закону. Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ).
Нужен или нет для соблюдения требования ст. 88 ТК РФ о доступе к персональным данным работников только специально уполномоченных лиц утвержденный локальным нормативным актом список лиц, имеющих доступ к персональным данным работников?: Скорее да, чем нет. Если в организации имеется специально уполномоченное лицо (например, работник отдела кадров, руководитель подразделения и пр.), то свою трудовую деятельность он осуществляет на основании приказа (локального нормативного акта) и утвержденной должностной инструкции. Если в инструкции прописаны обязанности по ознакомлению и работе с определенными персональными данными работника, а приказе оговорено, что это лицо имеет право допуска к определенной категории персональных данных работника, то требования ст. 88 ТК РФ формально выполнены. Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь.
В нормативных документах РФ, имеющих отношение к обработке ПД, а также близких к ним документах всплывают термины: Информационная система, Подсистема, Автоматизированная система, Информационный ресурс. Причем в некоторых документах есть определения этих т: 1. Вообще-то в целом, все термины коррелируют. Действительно, некоторые термины могут иметь разный смысл. С этой целью каждый федеральный закон содержит статью «ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ», в которой и дается толкование того или иного термина применительно к положениям данного закона. В этом случае надо исходить из духа, а не буквы закона.

2. Есть целый ряд стандартов работающих в этой предметной области, например, ГОСТ Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации», ГОСТ Р 50922-96 «Защита информации. Термины и определения», ГОСТ Р 516240-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие.

3. Наконец, есть «Сборник терминов и определений. Информационная безопасность и защита информации»

Дать конкретный ответ по этому вопросу невозможно. Провести детальный анализ всех представленных документов и имеющихся в них терминах потребует много времени. Надо говорить о конкретных терминах. Если будет список терминов, требующих разъяснения – можно сделать анализ отдельно. В принципе всегда действует правило: термин в старшем документе – более правильный. Таким образом за основу надо брать цепочку: Конституция – кодекс – федеральный закон – национальный стандарт – отраслевой стандарт, руководящий документ, ведомственный приказ – словарь – прочие источники.
Распространяется ли закон №152-ФЗ на персональные данные иностранных граждан?: Да, распространяется.
Существуют ли какие-либо дополнительные аспекты в отношении персональных данных граждан иностранных государств, отличных от требований, предъявляемых в отношении российских граждан?: Если они находятся на территории Российской федерации – нет не существуют. Они в силу ГК РФ пользуются равными правами с гражданами России.
Как закон №152-ФЗ соотносится с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных Евросоюза ETS N 108?: Полностью соотносится. Более того, его принятие как раз и было вызвано тем, что Россия присоединилась к Конвенции и должна была привести свое внутреннее законодательство в соответствии с этой Конвенцией. Положения Закона коррелируют, а во многом повторяют положения Конвенции и Директивы Европарламента 95/46/ЕС.
Урегулирование вопросов с обработкой персональных данных в правовой плоскости?: Для внесения ясности в этом вопросе, в первую очередь, мы рекомендуем разработать Внутреннее положение об обработке персональных данных, отражающее, в частности:

1. правовые вопросы обработки ПДн, цели и задачи такой обработки;
2. категории и перечни обрабатываемых ПДн;
3. категории субъектов ПДн;
4. порядок обработки ПДн;
5. порядок предоставления ПДн (кому, на каком основании и пр.);
6. условия начала и прекращения обработки ПДн;
7. основания и порядок уничтожения ПДн (в т.ч. разработка процедуры уничтожения, актов подтверждения уничтожения и пр.);
8. форму согласия субъекта на обработку ПДн (при необходимости);
9. обязанности персонала при обработке ПДн.
Что такое модель угроз?: Модель угроз — это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности персональных данных и уязвимостей при их обработке в ИСПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн.

Цель разработки модели угроз — определение актуальных для конкретной ИСПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИСПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных.
Как правильно передавать персональные данные 3-ей стороне из компании, какие документы должны регламентировать этот порядок?: Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства.
Какие документы по защите персональных данных и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)?: Согласование никаких документов по обеспечению безопасности персональных данных никакими надзорными органами не предусматривается.

Следующая Показать все

Представьтесь, пожалуйста: (Фамилия Имя) *
Контактный телефон (ххх) ххх-хххх
E-mail *
Ваше сообщение / вопрос *
	Проверьте правильность заполнения обязательных полей!
	Нажимая кнопку "Отправить сообщение", Вы принимаете условия Пользовательского соглашения и даете согласие на обработку персональных данных

Представьтесь, пожалуйста: (Фамилия Имя) *
E-mail *
Контактный телефон (ххх) ххх-хххх
Ваш вопрос *
	Проверьте правильность заполнения обязательных полей!
	Нажимая кнопку "Отправить сообщение", Вы принимаете условия Пользовательского соглашения и даете согласие на обработку персональных данных

Центр компетенции

FAQ

Персональные данные

Центр компетенции

FAQ

Персональные данные

обратная связь

Задать вопрос Технической поддержке