• Главная
  • Статьи
  • Ужесточение санкций за нарушения при обработке персональн...

Ужесточение санкций за нарушения при обработке персональных данных

С 01.07.2017 существенно повышаются штрафы за нарушения при обработке персональных данных, а сами виды нарушений будут дифференцированы: вступает в силу новая редакция ст. 13.11 КоАП РФ, вводящая семь новых составов правонарушений. Размер штрафа может достигать 75 тыс. руб. Причем штрафы будут выписываться не только организациям, но и виновным в выявленных нарушениях должностным лицам.

До вступления в силу изменений[1] юрлиц будут привлекать к ответственности по общему составу ст. 13.11 КоАП РФ: за нарушения при сборе, хранении, использовании или распространении персональных данных минимальный размер штрафа для оператора составит 5 тыс. руб., максимальный – 10 тыс. руб.

 

Что такое персональные данные?

 

Практически все работодатели имеют дело с персональными данными. Однако, что такое персональные данные, знает не каждый. Как следует из п. 1 ст. 3 Закона о ПД[2], под ПД понимается любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу – субъекту персональных данных.

Персональные данные входят в Перечень конфиденциальности[3], согласно которому это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением данных, подлежащих распространению в СМИ в случаях, установленных законом.

Персональные данные, с которыми чаще всего имеют дело кадровые службы или бухгалтерия, – это фамилия, имя, отчество, год, месяц, дата и место рождения; адрес, номер телефона, семейное, социальное, имущественное положение; образование, профессия, должность, доходы субъекта.

Обработка персональных данных (далее – обработка) включает любое действие с ними: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона о ПД). Лицо, осуществляющее такую обработку, называется оператором.

Некоторые работодатели полагают, что персональные данные фигурируют, только если организация формирует клиентскую базу. Однако это не так. Даже если организация имеет дело лишь с персональными данными своих сотрудников, она является оператором.

 

К сведению:

Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и Разъяснением Роскомнадзора[4].

 

Следует помнить, что только информация, позволяющая идентифицировать определенное физическое лицо, считается персональными данными. Например, имя и фамилия человека могут быть персональными данными, когда они привязаны к конкретному субъекту (допустим, в виде подписи под его фотографией: Сидоров Иван Петрович), но без такой привязки они персональными данными не являются (как в перечне имен и фамилий без указания места работы, адреса и других дополнительных сведений: мало ли на свете Сидоровых Иванов Петровичей). Другая распространенная ситуация – звонок на мобильный и обращение по имени и отчеству («Здравствуйте, Иван Петрович, Вас беспокоят из такой-то организации…») – это обработка персональных данных, а именно их использование, а аналогичный звонок и безликое обращение («Здравствуйте, Вас беспокоят из такой-то организации…») под категорию обработки ПД не подпадают.

 

За что и как будут наказывать?

 

Рассмотрим состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.

 

Обработка персональных данных (п. 1).

Данное нарушение состоит из двух частей:

  • обработка ПД в случаях, не предусмотренных законодательством РФ в области персональных данных;
  • обработка ПД, несовместимая с целями их сбора.

Нарушение влечет предупреждение или наложение на должностных лиц административного штрафа в размере от 5 тыс. до 10 тыс. руб., на юридических лиц – от 30 тыс. до 50 тыс. руб.

Рассмотрим каждый из указанных случаев подробнее.

Случаи обработки ПД предусмотрены в ч. 1 ст. 6 Закона о ПД. Например, оператор вправе обрабатывать ПД, если получено согласие субъекта на их обработку или если обработка необходима для осуществления правосудия, исполнения судебного акта, реализации полномочий органов власти, заключения договора, а также если данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Ограничения по обработке ПД, связанные с целями их обработки, изложены в п. 5 ст. 5 Закона о ПД:

  • содержание и объем обрабатываемых ПД должны соответствовать заявленным целям их обработки;
  • обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.

Таким образом, каждый оператор сам определяет цели обработки ПД и впоследствии строго их придерживается. Например, при заключении договора на дистанционное обучение по программе повышения квалификации нельзя требовать номер водительского удостоверения или номер полиса ОМС.

 

Получение письменного согласия на обработку ПД (п. 2).

Правонарушение, касающееся получения согласия на обработку ПД, тоже состоит из двух частей:

  • обработка персональных данных без письменного согласия субъекта в случаях, когда такое согласие установлено законом (если эти действия не содержат уголовно наказуемого деяния);
  • нарушение законодательных требований к составу сведений, включаемых в согласие на обработку ПД.

Данное нарушение влечет наложение на должностных лиц административного штрафа в размере от 10 тыс. до 20 тыс. руб., на юридических лиц – от 15 тыс. до 75 тыс. руб.

Наличие согласия субъекта ПД на обработку его персональных данных – один из принципов такой обработки, и это указано в пп. 1 п. 1 ст. 6 Закона о ПД. Механизм получения такого согласия прописан в ст. 9 указанного закона.

Обратите внимание, в п. 1 ст. 9 Закона о ПД определено, что субъект дает согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законом). Однако существуют специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и т. д., для которых требуется получение именно письменного согласия (в том числе в форме электронного документа).

Типовая форма согласия на обработку ПД законом не установлена. Значит, требуемым документом может стать заполненная анкета, письменное заявление, подписанная утвержденная форма и т. д. Главное, чтобы согласие было конкретным, информированным и сознательным, как устанавливает п. 1 ст. 9 Закона о ПД. Условия, которые следует включить в согласие на обработку данных, прописаны в п. 4 Закона о ПД. Сюда, в частности, входят цель обработки ПД, перечень сведений, на обработку которых дается согласие, перечень действий с обрабатываемыми ПД, срок действия полученного согласия, а также способ его отзыва. Обратите внимание, что список открытый – кроме перечисленных условий он может быть дополнен другими.

Для того, чтобы форма согласия максимально соответствовала установленным требованиям, оператору следует определить, какие именно персональные данные он обрабатывает. Возможно, потребуется анализ разных групп субъектов: клиентов, персонала, партнеров и т. д. Для каждой группы должен быть сформирован свой перечень обрабатываемой информации, исходя из которого должна быть разработана своя форма получения согласия на обработку ПД. Например, ПД работников оператор-работодатель планирует передать третьим лицам (в страховую компанию), а ПД клиентов – своим партнерам для проведения консультаций. Первое условие должно быть указано в согласии работников, второе – в согласии клиентов.

 


При возникновении спора именно оператор обязан доказывать, что согласие на обработку персональных данных получено.


 

При возникновении спора именно оператор обязан доказывать, что согласие на обработку персональных данных получено (п. 3 ст. 9 Закона о ПД). Это относится ко всем случаям получения согласия, но особенно к тем, когда обязательна письменная форма такого согласия. Поэтому к получению данного согласия следует подходить особенно тщательно.

 

К сведению:

Обратите внимание, что нарушения, связанные с получением согласия субъекта на обработку ПД, указываются в двух частях ст. 13.11 КоАП РФ. Во-первых, это обработка ПД в случаях, не предусмотренных Законом о ПД. К такому случаю относится обработка данных без получения согласия в любой подтверждающей это форме (ч. 1 п. 1 ст. 1 Закона о ПД): санкции за нарушение данного требования предусмотрены ч. 1 ст. 13.11 КоАП РФ. Однако существует ст. 10 Закона о ПД, в силу которой обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только с письменного согласия субъекта. Нарушение этого требования грозит штрафами, предусмотренными ч. 2 ст. 13.11 КоАП РФ.

 

Любые документы, включающие персональные данные (например, опросные листы, анкеты на сайтах), должны включать форму согласия. Работодателю следует принять внутрикорпоративные документы, устанавливающие порядок обработки ПД, и ознакомить с ними работников под подпись, как того требует п. 8 ст. 86 ТК РФ.

Порядок обработки персональных данных можно прописать и в трудовом договоре. А вот включать согласие на обработку ПД в типовую форму договора не следует, ведь субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах, а также имеет право отозвать это согласие (п. 1, 2 ст. 9 Закона о ПД). Включение согласия в типовую форму договора противоречит данному требованию и нарушает право работника на отзыв согласия.

Разъяснение Роскомнадзора включает случаи, когда согласие субъекта на обработку персональных данных не требуется: например, если обработка происходит по запросу прокуратуры, правоохранительных органов, ГИТ; если ПД близких родственников работника обрабатываются в объеме, предусмотренном личной карточкой по форме Т-2; в случае необходимости обработки для исполнения заключенного с работником договора или возложенных на работодателя обязанностей; когда обработка ПД связана с выполнением работником его трудовых обязанностей, в том числе при направлении его в командировки.

Другой вариант, допускающий обработку ПД без согласия субъекта, – это их общедоступность (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона о ПД). Однако в этом случае обработка ПД должна соответствовать целям их размещения для общего доступа. Например, номер телефона, адрес электронной почты, имя и фамилию репетитора по английскому языку, размещенные на сайте по оказанию образовательных услуг, можно использовать, чтобы обговорить стоимость услуги, уточнить время занятий, сравнить предложение с аналогичными. Но использование этих данных для рассылки рекламы медицинских услуг будет уже нарушением Закона о ПД.

 

Требование информирования (п. 3).

Согласно ч. 2 ст. 18.1 Закона о ПД оператор обязан опубликовать или иным образом обеспечить неограниченный доступ:

  • к документу, определяющему его политику в отношении обработки персональных данных;
  • к сведениям о реализуемых требованиях к защите персональных данных.

При этом доступ к своим персональным данным должен быть для субъекта неограниченным. То есть, если сбор данных осуществляется не только в режиме онлайн, но и, например, путем личностного опроса, будет недостаточно публикации в Интернете документов, определяющих указанную политику оператора, и сведений о реализуемых требованиях к защите ПД. Даже если оператор обеспечит возможность доступа к указанным информресурсам через Интернет, субъекты, заполнившие анкеты, но не имеющие выхода в Сеть, будут ограничены в возможности ознакомления с размещенной информацией.

Невыполнение вышеуказанных обязанностей будет расцениваться как правонарушение, за которое ч. 3 ст. 13.11 КоАП РФ предусмотрено предупреждение или наложение на должностных лиц административного штрафа в размере от 3 тыс. до 6 тыс. руб., на юридических лиц – от 15 тыс. до 30 тыс. руб.

 

Предоставление информации субъекту ПД (п. 4).

Право субъекта на получение информации, касающейся обработки его персональных данных, закреплено в ст. 14 Закона о ПД. Однако это право может быть ограничено федеральными законами[5]. Так, оператор не обязан предоставлять данные, добытые в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, или в случае, когда доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц (однако не указано, как именно может применяться положение о нарушении прав третьих лиц: в каких случаях, каким образом).

Открытый перечень информации, на получение которой имеет право субъект, приведен в ч. 7 ст. 17 Закона о ПД. В частности, к таким сведениям относятся правовые основания и цели обработки ПД; сведения о лицах (за исключением работников оператора), которые имеют или получат доступ к ПД, сроки хранения ПД.

Оператор обязан ознакомить субъекта с персональными данными в течение 30 дней с даты получения соответствующего запроса (ч. 1 ст. 20 Закона о ПД).

На основании положений федерального закона для операторов-госорганов разработаны свои правила рассмотрения запросов субъектов[6]. Например, для ФНС такие правила утверждены Приказом ФНС РФ от 21.04.2015 № ММВ-7-4/165@.

Согласно новым правилам невыполнение оператором обязанности по предоставлению субъекту информации, касающейся обработки его ПД, повлечет предупреждение или наложение на должностных лиц штрафа в размере от 4 тыс. до 6 тыс. руб., на юридических лиц – от 20 тыс. до 40 тыс. руб.

 

Работа с ПД по требованию субъекта (п. 5).

В случае, когда ПД являются неполными, устаревшими, неточными, незаконно полученными или избыточными для заявленной цели обработки, субъект вправе потребовать от оператора их уточнения, блокирования или уничтожения (ч. 1 ст. 14 Закона о ПД). Обязанность оператора выполнить данное требование субъекта, а также сроки его выполнения закреплены в ст. 21 закона. Например, на уточнение неточности отводится 7 рабочих дней, на уничтожение ПД – от 10 рабочих дней до 6 месяцев, на прекращение неправомерной обработки – 3 дня.

Рассмотрим случай, когда работодатель получил анкету соискателя, но принял на это место другого человека. Таким образом, цель обработки ПД достигнута – вакансия закрыта. Однако работодатель (он же оператор) намеривается хранить персональные данные непринятого соискателя на момент появления другой подходящей вакансии. В этом случае в соглашении на обработку ПД следует указать и вторую цель использования информации. В противном случае данные подлежат уничтожению.

Другая ситуация, грозящая санкциями: субъект потребовал корректировки (или удаления) своих ПД, отправив соответствующее обращение на общую почту организации, где оно затерялось среди других писем. Выждав положенное время, субъект обратится в контролирующие органы, доказав факт отправления запроса, органы оштрафуют оператора за нарушение требований законодательства и будут правы. Отговорка, что обращение вовремя не замечено или по ошибке удалено, не сработает.

Чтобы избежать подобной неприятной ситуации, следует завести специальный адрес, на который субъект может отправить свое обращение, зафиксировать факт ознакомления субъекта с этой возможностью (например, указать адрес в согласии на обработку ПД).

Еще одним подводным камнем является процедура уничтожения ПД. Некоторые операторы, например, забывают удалить уничтожаемые электронные документы из корзины. А как избавляться от печатных документов? Выбрасывать или сдавать в макулатуру их нельзя, а вот разрезать при помощи шредера можно. Каким образом фиксировать факт уничтожения ПД?

Чтобы процедуры работы с ПД проходили без сюрпризов, их следует ее тщательно продумать, уделяя особое внимание проблемным этапам, и зафиксировать в соответствующей инструкции.

Помните, что невыполнение оператором в срок законного требования об уточнении, блокировании или уничтожении ПД в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или избыточными для заявленной цели обработки, влечет предупреждение или наложение на должностных лиц штрафа в размере от 4 тыс. до 10 тыс. руб., на юридических лиц – от 25 тыс. до 45 тыс. руб.

 

Сохранность и конфиденциальность ПД (п. 6).

Оператор отвечает за сохранность ПД, а также за их конфиденциальность, поэтому он должен обеспечить условия, исключающие потерю информации или несанкционированный доступ к ней.

Меры по обеспечению безопасности ПД прописаны не только в ст. 19 Закона о ПД, но и в Требованиях по защите ПД в информсистемах[7], Положении о неавтоматизированной обработке ПД[8].

Обработка ПД должна проходить таким образом, чтобы в отношении каждой категории данных можно было определить места хранения материальных носителей ПД и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ.

Согласно Положению о неавтоматизированной обработке ПД лица, осуществляющие обработку персональных данных (в том числе сотрудники организации-оператора), должны быть проинформированы о факте обработки ими ПД, категориях обрабатываемых данных, а также об особенностях и правилах проведения такой обработки (федеральных, региональных, локальных).

При использовании типовых форм документов, содержащих ПД, необходимо, в частности, включать в эти формы сведения о цели обработки ПД, сроках обработки, перечень действий с персональными данными, а также поле, в котором субъект может поставить отметку о своем согласии на обработку ПД (при необходимости получения такого согласия). Важно исключить объединение полей, предназначенных для внесения ПД, цели обработки которых заведомо несовместимы. Типовая форма документа, включающая ПД, должна быть составлена таким образом, чтобы каждый из субъектов мог ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также лица, ответственные за реализацию указанных мер, устанавливаются оператором.

 

К сведению:

Меры по обеспечению безопасности ПД при их неавтоматизированной обработке (п. 13 – 15 Положения о неавтоматизированной обработке ПД):

1. Обработка ПД должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, имеющих к ним доступ.

2. Если обработка ПД осуществляется в различных целях, материальные носители этих данных следует хранить раздельно.

3. При хранении материальных носителей нужно обеспечивать сохранность ПД и исключать несанкционированный доступ к ним. Перечень мер, необходимых для реализации таких условий, порядок их принятия, а также лиц, ответственных за реализацию указанных мер, устанавливает оператор.

 

Если оператор не обеспечивает сохранность персональных данных при хранении материальных носителей ПД и допускает несанкционированный доступ к ним, к нему могут быть применены санкции, указанные в ч. 6 ст. 13.11 КоАП РФ: наложение на должностных лиц штрафа в размере от 4 тыс. до 10 тыс. руб., на юридических лиц – от 25 тыс. до 50 тыс. руб.

Однако следует помнить, что указанные меры коснутся только случаев, когда выполняются следующие условия:

1) обработка ПД происходит без использования средств автоматизации;

2) отсутствуют признаки уголовно наказуемого деяния;

3) нарушение требований повлекло неправомерные действия в отношении персональных данных: незаконный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение и т. д.

 

Обезличивание персональных данных (п. 7).

Государственные и муниципальные органы, тоже являющиеся операторами, обязаны выполнять Требования по обезличиванию ПД[9]. Это актуально, например, при проведении статистических исследований, подготовки к выборам.

Невыполнение обязанности по обезличиванию ПД либо несоблюдение установленных требований или методов по их обезличиванию повлечет предупреждение или наложение на должностных лиц административного штрафа в размере от 3 тыс. до 6 тыс. руб.

 

К сведению:

Кроме перечисленных санкций и штрафов у нарушителей могут быть и другие убытки. Например, в ст. 17, 24 Закона о ПД предусмотрено право субъекта на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

Примеры нарушений обработки ПДю

 

На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.

Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.

Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).

Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.

Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).

Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.

 

Перечень санкций за нарушения при обработке ПД для должностных лиц и организаций.

 

Часть ст. 13.11 КоАП РФ

Нарушение

Санкции

1

а) обработка ПД в случаях, не предусмотренных Законом о ПД (например, без согласия на их обработку);

б) обработка ПД в целях, несовместимых с заявленными (например, рассылка спама получателям интернет-услуг по указанному при регистрации адресу)

Предупреждение или штраф:

– должностному лицу – от 5 тыс. до 10 тыс. руб.;

– организации – от 30 тыс. до 50 тыс. руб.

2

а) обработка ПД без письменного согласия лица, когда такое согласие необходимо (например, при внесении в информационную базу сведений о здоровье пациента);

б) нарушение требований закона к составу сведений, которые нужно включить в согласие субъекта на обработку ПД (например, информирование о третьих лицах, которым открыт доступ к ПД)

Штраф:

– должностному лицу – от 10 тыс. до 20 тыс. руб.;

– организации – от 15 тыс. до 75 тыс. руб.

3

Невыполнение требования об обеспечении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД (например, отсутствие документов на официальном сайте)

Предупреждение или штраф:

– должностному лицу – от 3 тыс. до 6 тыс. руб.;

– организации – от 15 тыс. до 30 тыс. руб.

4

Непредоставление субъекту информации, касающейся обработки его ПД

Предупреждение или штраф:

– гражданам – от 1 тыс. до 2 тыс. руб.;

– должностному лицу – от 4 тыс. до 6 тыс. руб.;

– предпринимателю – от 10 тыс. до 15 тыс. руб.;

– организации – от 20 тыс. до 40 тыс. руб.

5

Невыполнение в срок требования об уточнении ПД, их блокировании или уничтожении

Предупреждение или штраф:

– должностному лицу – от 4 тыс. до 10 тыс. руб.;

– организации – от 25 тыс. до 45 тыс. руб.

6

Необеспечение условий, необходимых, чтобы:

– сохранить ПД при хранении материальных носителей;

– исключить несанкционированный доступ к ним

Штраф:

– должностному лицу – от 4 тыс. до 10 тыс. руб.;

– организации – от 25 тыс. до 50 тыс. руб.

7

Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных

Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб.



[1]Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

[3] Перечень сведений конфиденциального характера, утв. Указом Президента РФ от 06.03.1997 № 188.

[4] Разъяснение Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

[5] Часть 8 ст. 14 Закона о ПД.

[6] Правила рассмотрения запросов субъектов персональных данных или их представителей в частности, разработаны для Минфина (утв. Приказом Минфина РФ от 08.09.2014 № 91н), для Росстата (утв. Приказом Росстата от 05.09.2016 № 478), для Роспотребнадзора (утв. Приказом Роспотребнадзора от 23.12.2013 № 964).

[7] Требования к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 № 1119.

[8] Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687.

[9] Требования и методы по обезличиванию персональных данных, утв. Приказом Роскомнадзора от 05.09.2013 № 996.

 

Ф. С. Кузнецов,

эксперт журнала «Руководитель бюджетной организации»  № 7, июль, 2017 года

 

Для оформления заказа на юридические услуги или получение консультации по банкротству необходимо заполнить форму и нажать на кнопку «Отправить заявку», наши менеджеры обязательно свяжутся с Вами.
*минимальная стоимость ответа 2500 р.