Что гласит закон о защите персональных данных. Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .

9. Проект системы защиты информационной системы персональных данных. Пример .

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти и .

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .

18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .

24. Журнал учета средств защиты информации(перечень технических средств). Пример .

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .

32. Форма ответа на запрос субъекта персональных данных. Пример .

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].

Работу с индивидуальными сведениями сотрудников регулирует Федеральный закон «О персональных данных» и Гражданский кодекс Российской Федерации. Обладая конфиденциальной информацией о наемном работнике, предприятие обязано обеспечить их сохранность в соответствии с законодательством. Разберемся подробнее в вопросе.

Оформляя трудовые отношения с новым сотрудником, работодатель собирает и обрабатывает данные о нем. Под персональными подразумеваются индивидуальные сведения о конкретном человеке. В том числе:

  • личностная информация: ФИО, возраст, половая принадлежность, фотоизображение;
  • полученное образование и профессиональные навыки;
  • национальность и расовая принадлежность;
  • отношение к наркотическим, алкогольным, психотропным веществам;
  • этапы прошлой жизни (служба в рядах вооруженных сил, отбывание наказания, предыдущие места работы);
  • принадлежность к политическим и религиозным течениям;
  • материальное положение;
  • место проживания;
  • родственные связи и семейное положение;
  • оценивающая характеристика личности;
  • физическое и психическое состояние и сексуальная ориентация;
  • хобби, увлечения.

Получив необходимые сведения, наниматель обязан, согласно закону, обработать и сохранить их. Перечислим правила, предусмотренные нормативно-правовыми актами:

  1. Собирать и обрабатывать можно только те данные личного характера, которые влияют на эффективность сотрудничества в рамках трудовых отношений, качественное выполнение обязанностей и сохранение жизни и здоровья соискателя.
  2. База данных работника складывается из информации, полученной от него самого и сторонних лиц. Запрос сведений у третьей стороны осуществляют только с согласия человека, оформленного в письменном виде.
  3. Сведения о вероисповедании, личной жизни, принадлежности к политическим течениям, профсоюзным организациям не могут быть материалом для обработки по месту трудоустройства.
  4. Запрещается принимать решения, ущемляющие личные права наемного рабочего, на основе автоматизированных или электронных данных.
  5. Обязанность по защите персональной информации лежит на работодателе.
  6. Руководитель предприятия обязан издать соответствующий приказ. Образец документа приведен ниже.
  7. Сотрудник под роспись знакомится с порядком обработки его индивидуальных сведений.
  8. В целях охраны своих данных и на основе трудового права работник может не передавать нежелательную для него информацию.

Организация защиты персональных данных на предприятии

При обработке и использовании информации о сотрудниках у работодателя появляются обязанности:

  • не распространять полученные сведения;
  • предоставлять допуск к конфиденциальной информации только уполномоченным на то представителям;
  • передачу данных осуществлять только с письменного согласия владельца.

Р аботодатель не вправе собирать и обрабатывать информацию, не относящуюся к выполнению трудовых обязательств.

Вопроса об индивидуальных сведениях работников в Трудовом кодексе РФ регламентирует статья 89.

Согласно закону, работник имеет право:

  • знать, как обрабатывается и хранится информация о его личности;
  • иметь доступ к базе своих персональных сведений;
  • вносить изменения в информационную базу;
  • защищать свое право в судебных заседаниях в случае нарушения работодателем положений о сохранении личной информации;
  • иметь представителей по защите своих прав.

Приказ о защите персональных данных образец

Защита персональных данных работника - трудовое право

К защите индивидуальных сведений граждан наше законодательство подошло серьезно. Нарушение права по защите личных данных, предусмотренное Конституцией РФ, карается законом. Наказывают должностных лиц, а также руководителя.

Уполномоченный сотрудник, который нарушил 152-ФЗ, воспользовавшись служебным положением, подвергается наказанию в виде:

  • денежного штрафа в размере 100 000–300 000 рублей;
  • материального взыскания на сумму дохода за 12–24 месяцев;
  • содержания под стражей до 0,5 года;
  • запрета занимать определенные должности.

Согласно статье 137 УК РФ, лица, виновные в распространении охраняемых законом сведений, несут ответственность в виде:

  • штрафа до 200 000 рублей;
  • денежного взыскания, составляющего доход за 1,5 года;
  • от 120 до 180 часов обязательных работ;
  • выполнения исправительных работ сроком до 12 месяцев;
  • заключения под стражу до 4 месяцев.

С отруднику, разгласившему охраняемую информацию, вынесут выговор либо переведут на другую должность. Возможно и увольнение.

Отстаивать права о защите своих индивидуальных сведений гражданин будет в судебном заседании. Доказав нарушения норм законодательства, работник может рассчитывать на возмещение материального и морального ущерба.

УТВЕРЖДАЮ

Руководитель Компании

компания»

_______________________

« » __________ 20 __ г.

Перечень персональных данных, обрабатываемых в ООО "Наша компания"

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Перечень персональных данных, подлежащих защите в компания» (далее – Перечень), разработан в соответствии с Федеральным законом Российской Федерации № 000 «О персональных данных» и Уставом компания» (далее Компания).

2. СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Сведениями, составляющими персональные данные, в Компании является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:

2.1. Фамилия, имя, отчество (в т. ч. прежние), дата и место рождения.

2.2. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.

2.3. Характеристики, идентифицирующие физиологические особенности человека и на основе которых можно установить его личность.

2.4. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.

2.5. Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту).

2.6. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).

2.7. Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения).

2.8. Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона Компании, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).

2.9. Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.

2.11. Сведения о заработной плате (номера счетов для расчета с работниками, данные схем вознаграждения с клиентами или партнерами, в том числе номера их спецкартсчетов).

2.12. Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения).

2.13. Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные брачного контракта, данные справки по форме 2НДФЛ супруга(и), данные документов по долговым обязательствам , степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).

2.14. Сведения об имуществе сотрудников (имущественном положении, включая трансорт, недвижимость, кредиты или займы).

2.15. Сведения о номере и серии страхового свидетельства государственного пенсионного страхования.

2.16. Сведения об идентификационном номере налогоплательщика.

2.17. Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).

2.18. Сведения, указанные в оригиналах и копиях приказов по личному составу Компании и материалах к ним.

2.19. Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Компании.

2.20. Материалы по аттестации и оценке работников Компании.

2.21. Материалы по внутренним служебным расследованиям в отношении работников Компании.

2.23. Табельный номер работника Компании.

2.24. Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Целью обработки указанных выше персональных данных является:

Выполнение уставных задач Компании, в соответствии с Уставом Компании, Гражданским Кодексом Российской Федерации и Федеральным законом Российской Федерации № 000 «О персональных данных»;

4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сроки обработки указанных выше персональных данных определяются в соответствие со сроком действия договора с субъектом ПДн, приказом Приказ Министерства культуры РФ об утверждении «Переченя типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности , а также иными требованиями законодательства и нормативными документами.

Должностные лица, участвовавшие в составлении списка:

(должность) (ФИО) (подпись)

__________ __________________ ___________ “ ” ________20__ г.

(должность) (ФИО) (подпись)

Сегодня расскажу про свое видение системы организационно-распорядительных документов, регламентирующих обработку и обеспечение безопасности ПДн, которые я рекомендую к разработке и внедрению в компаниях - Операторах ПДн.

P.S. в данном посте я не рассматриваю вопросы проектирования СЗПДн, а просто пишу технический проект СЗПДн (комплект). Данный вопрос достаточно хорошо регламентирован соответствующими ГОСТами, и хотя у меня есть свое мнение о составе и содержании именно проектных документов на СЗПДн, а также их целесообразности, но в этом посте я его озвучивать не буду.

Name="more"> Перечень документов (майндкарта):

Итого перечень:

1. Общие положения:

1.1. Политика в отношении обработки ПДн

1.2. Положение об обработке ПДн

1.3. Положение об обеспечении безопасности ПДн

1.4. Положение о распределении ответственности за обработку и обеспечение безопасности ПДн

1.5. Комплект приказов:
- Приказ о назначении ответственного и создании СЗПДн
- Приказ о допуске сотрудников к обработке ПДн
- Приказ о внедрении СЗПДн

2. Проектирование СЗПДн
2.1. Перечень ПДн
2.2. Перечень лиц, допущенных к обработке ПДн
2.3. Перечень ИСПДн
2.4. Описание ИСПДн
2.5. Акты классификации ИСПДн
2.6. Модель угроз СЗПДн + протокол об оценке ущерба
2.7. План мероприятий по обеспечению безопасности ПДн
2.8. Технический проект на СЗПДн (комплект документов)

3. Обеспечение ИБ
3.1. Положение об антивирусной защите
3.2. Положение о парольной защите
3.3. Положение о физической безопасности и контроле доступа на территорию
3.4. Положение о допустимом использовании ресурсов
3.5. Регламент инструктажа сотрудников
3.6. Регламент предоставления и изменения прав доступа к информационным ресурсам
3.7. Регламент реагирования на запросы субъектов ПДн
3.8. Регламент проведения мероприятий по контролю обработки и защиты ПДн
3.9. Положение о маркировании носителей персональных данных

4. Инструкции и памятки
4.1. Памятка администратору
4.2. Памятка пользователю
4.3. Памятка аудитору (контролеру) СЗПДн
4.4. Инструкция по организации резервного копирования и восстановления информации

5. Справочная информация
5.1. Перечень лиц, допущенных в серверное помещение
5.2. Перечень внутренних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.3. Перечень внешних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.4. Перечень СЗИ
5.5. Перечень администраторов средств обработки и защиты информации

6. Прочие
6.1. правки в
- Должностные инструкции сотрудников, обрабатывающих ПДн
- Должностные инструкции сотрудников, обеспечивающих ИБ и поддержку ИТ
- Положения о подразделениях
- Договора с 3ми лицами
- Договора с сотрудниками
6.2. Соглашение на обработку ПД (шаблон)
6.3. Уведомление РКН

7. Журналы
7.1. Журнал инструктажа сотрудников по вопросам ИБ
7.2. Журнал учета мероприятий по обеспечению и контролю безопасности ПДн
7.3. Журнал учета запросов и обращений субъектов ПДн, их законных представителей и государственных контролирующих органов
7.4. Журнал учета мобильных носителей
7.5. Журнал учета съемных носителей информации
7.6. Журнал учета пропуска лиц на территорию

_________________________________________________________________________________


Далее, примеры документов, которые часто включают в список "необходимых" документов по ПДн и краткие комментарии по ним. Я не призываю полностью отказываться от них, на определенных этапах развития компании (ее процессов) они вполне могут появиться (некоторые должны появиться), но я бы их отложил до лучших времен, сосредоточившись на документах, приведенных выше (все же блог называется 80на20 - принцип Парето)

Документы (тип/область)

Комментарий

Верхнеуровневые документы ИБ и ИТ
(Концепция ИБ, Стратегия ИБ, Политика ИБ, Стратегия ИТ и пр.)

Да, верхнеуровневые документы важны, и если они в компании разработаны, то все ОРД по ПДн должны на них ориентироваться. Однако в системе защиты ПДн без них можно обойтись

Управление инцидентами
( Регламент реагирования на инциденты ИБ, Инструкция по действиям персонала в нештатных ситуациях и пр.)

Документы связанные с управлением инцидентами и непрерывностью бизнеса (восстановлением после аварий) важны и полезны. Однако они не так просты и очевидны, по-хорошему следует разрабатывать целые комплекты документов (положения, процедуры, инструкции, планы и т.д.). Обычно одним-двумя документом не отделаешься, они будут «не рабочими». Если все же хочется заложить основные принципы и требования, то это можно сделать в документе «Положение об обеспечении безопасности ПДн», если хочется чего-то больше, то следует рассмотреть основные сценарии угроз ИБ и написать процедуры реагирования на них. Ну, например,

«что делать если вырубило электричество», «что делать при краже ноутбука», «что делать при отказе сервера ХХХ», «что делать при потере пароля к ХХХ»

Управление изменениями
(Инструкции по модификации и техническому обслуживанию ИСПДн,

Инструкции по внесению изменений в ИСПДн и пр.)

Опять же считаю тему управления изменениями не слишком простой, чтобы в паре документов писать общие фразы, это можно сделать, например, в «Положении об обеспечении безопасности ПДн».

Если хочется все же документировать эту область, то сделать это лучше отдельным проектом

Детализированные инструкции по обработке ПДн
(Положение о порядке обработки ПДн, Инструкция по работе с ПДн без использования средств автоматизации и пр.)

Тоже излишни, основные моменты можно прописать в «Положении об обработке ПДн»

Допуск к ПДн
(Регламент допуска сотрудников к обработке ПДн, Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн и пр.)
+ Сюда же можно отнести тоже "шикарный" документ под названием "Положение об электронном журнале учета обращений пользователей к ПДн"

В рамках защиты ПДн вполне достаточно основные моменты прописать в «Положении об обработке ПДн» и «Положении об обеспечении безопасности ПДн». Если есть желание, то можно разработать документ «Процедура предоставления и изменения прав доступа к информационным ресурсам».

Если хочется все же хорошо документировать область управления доступом, то сделать это лучше отдельным проектом

Архив
(Регламент передачи ПДн в архивное хранение и пр.)

Тоже не рассматривал бы в рамках проекта по ПДн. Архивное хранение и все что с ним связано достаточно четко регламентировано соответствующими законами и подзаконными актами

Когда компания приступает к обработке данных своих клиентов или сотрудников, нужно соблюсти требования к такой обработке. В частности, в отношении различных категорий персональных данных. Какие категории выделяют в законе.

Читайте в нашей статье:

Персональные данные: категории данных

Когда речь идет об операциях с персональными данными, категории персональных данных разграничивают по характеру сведений. В зависимости от этого понадобится выполнить те или иные требования закона. Выделяют:

  1. Общедоступные данные.
  2. Специальные категории персональных данных.
  3. Биометрические данные.
  4. Иные данные.

Категория персональных данных – это понятие, которое само по себе в законе не раскрывают. Особые уточнения есть или в отношении специальных категорий, или в отношении биометрических данных. При этом с 1 ноября 2012 года действует , где изложены требования к защите сведений при их использовании в информационных системах. В п. 5 постановления указали, что существуют общедоступные, специальные и биометрические данные. Также присутствует формулировка «иные категории персональных данных» (абз. 4 п. 5 постановления № 1119). Из текста абзаца следует, что иные категории персональных данных – это группы сведений о человеке, которые нельзя отнести к общедоступным, специальным или биометрическим.

Несколько категорий персональных данных выделяли в совместном приказе ФСТЭК, ФСБ и Минкомсвязи от 13.02.2008 № 55/86/20. Однако с 11 марта 2014 года документ утратил силу. Действующие приказы ФСТЭК и ФСБ от уточнений про категории данных не содержат.

Категории персональных данных: на что обратить внимание

Какие данные относятся к категории персональных данных общего порядка, следует из текста ФЗ-152, а также подзаконных актов. К общедоступным сведениям относятся те, которые присутствуют в открытых источниках (ст. 8 закона 152-ФЗ). Например, в адресной книге или каком-либо справочнике, куда информацию внесли по согласию самого человека. Доступом к таким данным обладает неограниченный круг лиц. В числе подобных сведений могут фигурировать:

  • ФИО гражданина,
  • сведения о месте и времени рождения,
  • адрес проживания,
  • контактные данные,
  • информация о профессии и т. п.

Владелец данных может потребовать их удаления из общедоступного источника. Также данные могут исключить по решению суда или госорганов.

Если компания планирует обрабатывать биометрические данные или информацию из специальной категории, потребуется письменное разрешение их владельца . (Согласие на обработку других данных владелец вправе дать в любой удобной ему форме, которая позволит установить, что согласие было). Кроме того, получение и использование такой информации должно строго соответствовать цели использования.

К биометрическим данным относится информация о физиологических особенностях человека, на основе которой можно идентифицировать его личность. Необходимость получить разрешение на работу с такой информацией возникает, если в компании ведут видеонаблюдение или потребовалась фотосъемка. Разрешение не нужно получать, только если видео- или фотосъемку ведут во исполнение правосудия или в соответствии с положениями законодательства о безопасности, ОРД, госслужбе и т. д (ст. 11 закона 152-ФЗ).

Что входит в специальные категории персональных данных

В статье 10 закона 152-ФЗ подробно изложили правила работы с особыми категориями данных. Специальные категории персональных данных – это группы сведений, которые по общему правилу узнавать у их владельца нельзя (ч. 1 ст. 10 закона 152-ФЗ). К специальным категориям персональных данных относятся сведения:

  • о расовой и национальной принадлежности,
  • о политических, религиозных или философских воззрениях;
  • о состояния здоровья гражданина или его интимной жизни.

В ч. 2. ст. 10 есть указание, в каких случаях обработку такой информации закон допускает. Это возможно, если:

  1. Гражданин дал письменное согласие на обработку подобных сведений или сам опубликовал такие данные в открытых источниках.
  2. Обработка таких данных понадобилась во исполнение законов РФ или международных соглашений, в том числе во исполнение правосудия.
  3. Необходимость в обработке информации возникла в связи с вопросом защиты жизни и здоровья самого гражданина или других лиц, а также в медицинских или профилактических целях.
  4. Данные обрабатывает общественная или религиозная организация в рамках своей деятельности.

Читайте также