Уважаемые господа! В разъяснении на вашем сайте http://онлайнинспекция.рф/questions/viewFaq/1293 указывается, что «Указанным законом не предоставлено право ни работодателю, ни нанятой им организации снимать отпечатки пальцев работников для целей организации пропускного режима на предприятие», при этом делается ссылка на Федеральный закон от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации».
Прошу подробно разъяснить позицию Роструда по данному вопросу и дать ссылки на нормы российской законодательства, ее подтверждающие. Вышеуказанный подход представляется ошибочным и не основанным на законе, а также противоречащим принципу диспозитивности гражданского права.
Указанный закон, как указано в преамбуле, «определяет цели, принципы и виды государственной дактилоскопической регистрации в Российской, а также устанавливает основные требования к проведению государственной дактилоскопической регистрации, хранению и использованию дактилоскопической информации. При этом под государственной дактилоскопической регистрацией понимается деятельность, осуществляемая указанными в настоящем Федеральном законе органами исполнительной власти и федеральными государственными учреждениями по получению, учету, хранению, классификации и выдаче дактилоскопической информации, установлению или подтверждению личности человека.
Изменения в обработке персональных данных с 01 марта 2023 года
Данный закон никак не затрагивает и не регулирует деятельность лиц и организаций, не являющихся государственными органами, не вводит никаких запретов на использование биометрических технологий в области, не определенной законом. Закон не содержит императивных (обязательных) норм, в том числе запретов, установленных в целях защиты общегосударственных интересов и интересов самих участников гражданских правоотношений, связанных с использованием дактилоскопических технологий в областях деятельности, не связанных с деятельностью государственных органов, реализующих свои функции, полномочия и обязанности при проведении мероприятий по обязательной и добровольной дактилоскопической регистрации.
В статье 6 закона 128-ФЗ устанавливается исчерпывающий (закрытый) перечень целей использования дактилоскопической информации, но распространяется он, как указывается в законе, на информацию, полученную в результате проведения государственной дактилоскопической регистрации. Таким образом, положения закона не могут рассматриваться как запреты или ограничения на использование дактилоскопии в иных целях, кроме как указанных в законе. Такой подход не соответствует установленному ст.34 Конституции Российской Федерации праву на свободу предпринимательства: «Каждый имеет право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности». Российское законодательство не вводит запретов и ограничений на производство и сбыт средств дактилоскопической регистрации, не устанавливает требований о лицензировании деятельности по производству и использованию таких средств. В связи с этим просьба более подробно разъяснить позицию Роструда по данному вопросу и дать ссылки на нормы российской законодательства, ее подтверждающие.
152-фз что делать для защиты персональных данных и что такое обработка персональных данных на сайте
Ответ Обработка биометрических персональных данных, к которым относятся отпечатки пальцев, допускается только с письменного согласия работников. Введение данной системы в отношении работников, не предоставивших письменного согласия на обработку биометрических персональных данных, незаконно. Правовое обоснование В соответствии с п. 1, п. 2 и п. 3 ст.
3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Согласно п. 1 ч. 1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (п. 1 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
- Главная
- Трудовой навигатор
- Новости
- Памятки
- Вопросы и ответы
- Обсуждения
- Электронная приемная
- Общественная оценка
- Статистика
- О проекте
- Сообщить о проблеме
- Электронный инспектор
- Требования трудового законодательства
- Досудебное обжалование
- Банк документов
- Банк предприятий и организаций
- Сервисы для граждан предпенсионного возраста
- Карта сайта
- Предприятие информирует
Источник: xn--80akibcicpdbetz7e2g.xn--p1ai
Метрическая программа обработки персональных данных это
Как оформить сайт, не нарушив законы о персональных данных
Персональные данные (ПД) становятся особо ценным активом, за которым охотятся маркетологи во всем мире. С помощью таких сведений можно узнать о предпочтениях потребителя, его привычках и маршруте на работу или домой, а затем предложить ему «персонализированные» товары и услуги, от которых тот не в силах будет отказаться. По сути, ПД сами стали товаром, который компании перепродают друг другу: базы клиентов с Ф. И. О., телефонами и их интересами. В этой борьбе за клиентов незащищенными оказываются сами граждане.
В России ПД охраняются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». За нарушение требований по обработке таких сведений предусмотрены штрафы, которые не превышают 30 000–150 000 руб. (кроме нарушения требования по локализации базы данных на территории РФ, где санкция достигает 6 млн руб.)
Однако российское законодательство развивается в сторону ужесточения ответственности операторов ПД (лиц, обрабатывающих ПД). По аналогии с Европейским регламентом по защите ПД (GDPR) планируется ввести оборотные штрафы, например 4% от годового оборота компании, а в некоторых случаях — предусмотреть уголовную ответственность.
Ужесточение ответственности по составам таких правонарушений, которые связаны с утечками данных, — это вполне реальная перспектива.
Евгения Червец, управляющий партнер московского офиса коллегии адвокатов Регионсервис Регионсервис Федеральный рейтинг. группа Семейное и наследственное право группа Уголовное право группа Экологическое право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры — high market) группа Природные ресурсы/Энергетика группа Транспортное право ×
Что нужно сделать в первую очередь, если у вас есть сайт, через который идет сбор ПД клиентов, чтобы соблюсти требования к приватности?
- категории данных (Ф. И. О., телефон, адрес и т. д.);
- из каких стран;
- кто источник предоставления данных;
- с какой целью собираете ПД, на каком основании и на какой срок;
- где производится хранение и обработка ПД (IT-системы);
- кому передаете ПД (есть ли обработчики и субобработчики).
Затем создать реестр ПД (можно в Excel) и внести в него эти данные, постоянно обновляя.
Разработайте политику использования файлов cookie на сайте
Разместите всплывающий баннер, который пользователь сразу заметит при посещении страницы сайта и сможет принять или отклонить сбор cookie.
Сookie — небольшие текстовые файлы со служебной информацией о посещении сайта. Вот примеры того, что хранится в них:
- тип устройства, с которого пользователь зашел на сайт;
- личные данные для авторизации (имя, email, логин, пароль);
- пользовательские настройки сайта (язык и геоданные);
- настройки рекламных предпочтений;
- статистика использования сервисов;
- товары в корзине и в избранном (если пользователь не авторизовался) и др.
В идеале на всплывающем баннере необходимо разбить cookie на обязательные (технические — без них сайт не сможет работать, а пользователь их не может отключить) и необязательные (рекламные, статистические и прочие, от которых пользователь может отказаться).
Разработайте и разместите на сайте политику компании в отношении обработки ПД
Ее надо разместить на главной странице, чтобы пользователь ее сразу нашел, а также на каждой странице сайта, с которой ведется сбор ПД.
Оптимальный способ избежать риска административной ответственности и блокировки сайтов заключается в предотвращении споров на уровне создания порталов. Расположение документов с политикой обработки персональных данных, формой согласия и правилами работы интернет-ресурса должно быть интуитивно понятным для пользователей.
Политика не равна согласию на обработку данных. Этот документ не стоит путать и с пользовательским соглашением на портале или договором оферты. Содержание политики должно соответствовать ч. 2 ст. 18.1 ФЗ-152.
По наблюдению Роскомнадзора, частая ошибка — размещать на сайте политики другого лица.
Хороший тон для компании — размещать все согласия на обработку ПД и политики приватности с правами пользователя и контактами ответственного за обработку ПД лица (офицера по защите данных) на видном месте. Пользователь не должен делать много кликов, чтобы найти заветную политику приватности.
Активизируется работа Роскомнадзора, направленная на проверку соблюдения норм указанного закона со стороны операторов персональных данных. Ведомству позволили не только проверять наличие имеющихся локальных актов в отношении персональных данных, собираемых оператором, но и принятие последним мер по защите персональных данных, которые указаны в соответствующих локальных актах.
Олег Панчишин, старший юрист коллегии адвокатов Регионсервис Регионсервис Федеральный рейтинг. группа Семейное и наследственное право группа Уголовное право группа Экологическое право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры — high market) группа Природные ресурсы/Энергетика группа Транспортное право ×
Разместите на сайте договор (оферту), на основании которой собираются ПД пользователей
Это может быть публичный договор — к нему посетитель сайта присоединяется для получения услуг и товаров, которые вы предоставляете. Если договор неприменим, используйте уведомление или согласие об обработке ПД, где кратко и на понятном языке расскажите пользователю о сути сбора его ПД и его правах.
Окошки, где ставятся галочки об ознакомлении с текстом согласия на обработку ПД, не должны быть предпроставлены
Pre-checked box — самая частая ошибка на сайтах. Иначе согласие не считается добровольно данным. Для каждого документа — свое индивидуальное окошко. Если предлагаете ознакомиться с пользовательским соглашением, собираете согласие на обработку и просите изучить политику приватности — создайте три окошка для проставления галочек пользователем, а не одно.
Если обрабатываете ПД граждан РФ, убедитесь, что ваши сервера локализованы в России
Иначе грозит штраф до 6 млн руб. (ч. 8 ст. 13.11 КоАП) и блокировка ресурса на территории РФ, что произошло с соцсетью LinkedIn.
- Запрещен сбор ПД с использованием базы данных сайта, находящегося за пределами РФ.
- Запрещен сбор ПД посредством форм сбора иностранных сервисов, база данных которых расположена за пределами РФ.
- Нарушением считается обработка ПД, осуществляемая посредством иностранных метрических программ в отсутствии правовых оснований.
Механизмы публичного права удобны, когда речь идет о массовых ситуациях обработки данных, где государство может осуществлять централизованный контроль. Один из таких механизмов — возможность наложить административный штраф как одну из эффективных мер по контролю за соблюдением правил обработки персональных данных.
Александр Козырин, юрист коллегии адвокатов Регионсервис Регионсервис Федеральный рейтинг. группа Семейное и наследственное право группа Уголовное право группа Экологическое право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры — high market) группа Природные ресурсы/Энергетика группа Транспортное право ×
Кому направлен таргет
Если вы обрабатываете ПД лиц из других стран и ваш сайт функционирует на нескольких языках, изучите законодательные требования о приватности в тех государствах, на чьих пользователей направлен таргет (кому вы предлагаете свои услуги и товары). Если вы предлагаете товары и услуги лицам с территории ЕС, то следует соблюдать требования GDPR (российский ФЗ № 152-ФЗ сближается с Европейским регламентом, но различия еще остаются).
Отключите Google-аналитику на сайте
США (страна регистрации компании Google) c точки зрения Роскомнадзора и Регулятора в области приватности в ЕС не обеспечивает должный уровень защиты ПД. А сама американская корпорация серьезно нарушала права субъектов ПД, за что Google получил штрафы. В крайнем случае, если от Google-аналитики отказаться нельзя, стоит самостоятельно разработать дополнительные меры защиты ПД. На сайте обязательно должен быть указан весь перечень сторонних сервисов, которым передаются ПД пользователя.
Регулярно удаляйте собранные через сайт ПД после достижения цели или истечения срока
Очень часто данные хранятся десятилетиями и не уничтожаются. Проверьте, в какие IT-системы разошлись ПД с сайта, и не забудьте их везде почистить. Разумно будет установить автоудаление данных после определенного срока. Такая политика снижает риск утечек данных, о которых мы часто слышим из СМИ, в случае атак.
- Изучите применимое для вас законодательство в области приватности в зависимости от страны регистрации и реального ведения бизнеса (таргета ваших услуг).
- Уведомьте Роскомнадзор об обработке ПД.
- Выясните, есть ли трансграничная передача ПД в третьи страны.
- Составьте реестры ПД и реестры информационных систем, в которых эти ПД обрабатывается.
- Разработайте политику обработки ПД, согласия и уведомления на обработку ПД.
- Назначьте ответственного за обработку ПД (офицер, в Европе он называется DPO — Data protection officer).
- Регулярно проводите обучение сотрудников, работающих с ПД.
- Актуализируйте технические и организационные меры безопасности внутри компании.
- При необходимости получите сертификаты безопасности у компетентных органов.
- Проведите оценку угроз безопасности информации.
- Если внутри компании нет сотрудника с соответствующей компетенцией, обратитесь к консультанту для выстраивания процессов.
Полностью исключить риски хакерских атак невозможно. Несмотря на это, стандартный режим конфиденциальности должен включать ясную идентификацию лиц, которые уполномочены работать с персональными данными, полученными компанией. Подобная работа на уровне компаний становится обычной практикой, которую надо активно осваивать.
P. S. Законодательство о персональных данных направлено на защиту граждан от недобросовестного использования информации о личности. Между тем вопрос о пределах защиты данных должен решаться в каждом случае с учетом цели регулирования.
С примером дисбаланса в данной области сегодня столкнулись партнеры коллегии адвокатов Регионсервис Регионсервис Федеральный рейтинг. группа Семейное и наследственное право группа Уголовное право группа Экологическое право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры — high market) группа Природные ресурсы/Энергетика группа Транспортное право × Евгения Червец и Мария Любимова, которые стали жертвами уличного происшествия. Когда девушки переходили на зеленый свет московскую улицу Петровку по пешеходному переходу, их сбил двигавшийся с высокой скоростью курьер одной из служб доставки на электросамокате. Проведя несколько часов с полицейскими и написав соответствующее заявление, пострадавшие и адвокаты так и не смогли получить полные данные о сбившем их мужчине, чтобы сообщить в службу доставки. Мотивом отказа в предоставлении информации о личности курьера стала охрана персональных данных.
- Право.ru
Источник: pravo.ru