Похожие презентации:
Обработка персональных данных
1.
ОБРАБОТКАПЕРСОНАЛЬНЫХ
ДАННЫХ
2. 1. Основные понятия в области защиты персональных данных
ПЕРСОНАЛЬНЫЕ ДАННЫЕИДЕНТИФИКАЦИЯ ЛИЦА
СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОПЕРАТОР
УПОЛНОМОЧЕННОЕ ЛИЦО
3. Термин «персональные данные»
любая информация, относящаяся кидентифицированному физическому лицу или
физическому лицу, которое может быть
идентифицировано
Идентификация лица
Это возможность выделить данное лицо среди
остальных, указать на него и использовать в
отношении него особую модель взаимодействия
4. Физическое лицо, которое может быть идентифицировано :
• физическое лицо, которое может быть прямо или косвенно определено, вчастности через
-фамилию, собственное имя, отчество,
-дату рождения,
-идентификационный номер
• либо через один или несколько признаков, характерных для его
-физической,
-психологической,
-умственной,
-экономической,
-культурной
–или социальной идентичности.
5. Виды персональных данных
Номинативные (сведения, идентифицирующие лицо ) :• ФИО
• место жительства
• дата и место рождения
Иными словами, – данные, называющие конкретное лицо
• серия и номер паспорта
Иные (сведения о таком лице или относящиеся к такому лицу) :
• размер заработной платы сотрудника, номер банковского счета, служебная характеристика
• адрес электронной почты клиента
• информация об успеваемости в школе или институте
• IP-адрес компьютера, история поиска в браузере, покупок
• отношения с коллегами, взаимоотношениях в семье
• информация о болезнях, визитах к врачу
• принадлежности имущества
• политические взгляды человека
• фотографии, видеозаписи лица
6. РАЗНОВИДНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ: 1. ОБЩЕДОСТУПНЫЕ 2. СПЕЦИАЛЬНЫЕ
7. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Общедоступныеперсональные данные
персональные данные,
распространенные самим
субъектом персональных данных
либо с его согласия или
распространенные в
соответствии с требованиями
законодательных актов
Специальные персональные данные
персональные данные, касающиеся расовой
либо национальной принадлежности,
политических взглядов, членства в
профессиональных союзах, религиозных
или других убеждений, здоровья или
половой жизни, привлечения к
административной или уголовной
ответственности, а также биометрические и
генетические персональные данные
8. СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЭТО ФИЗИЧЕСКОЕ ЛИЦО,В ОТНОШЕНИИ КОТОРОГО
ОСУЩЕСТВЛЯЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
9. Термин «обработка»
любое действие или совокупность действий, совершаемые с персональнымиданными, включая:
сбор,
систематизацию,
хранение,
изменение,
использование,
обезличивание,
блокирование,
распространение,
предоставление,
удаление
10. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Одно из правовых оснований для обработки персональныхданных физического лица, выражающее волю этого лица в
отношении совершения определенных действий оператором
персональных данных.
Согласе могут давать ФЛ с 16 лет.
В случае смерти субъекта персональных данных, объявления его
умершим согласие на обработку его персональных данных дают
один из наследников, близких родственников, усыновителей
(удочерителей), усыновленных (удочеренных) либо супруг
(супруга) субъекта персональных данных, если такое согласие не
было дано субъектом персональных данных при его жизни.
11. Термин «оператор»
Государственный орган, юридическое лицоРеспублики Беларусь, иная организация, физическое
лицо, в том числе индивидуальный
предприниматель (далее, если не определено иное, –
физическое лицо), самостоятельно или совместно с
иными указанными лицами организующие и (или)
осуществляющие обработку персональных данных
12. Термин «Уполномоченное лицо»
Государственный орган, юридическое лицоРеспублики Беларусь, иная организация, физическое
лицо, которые в соответствии с актом
законодательства, решением государственного органа,
являющегося оператором, либо на основании договора
с оператором осуществляют обработку персональных
данных от имени оператора или в его интересах
13. 2. Общая характеристика правовых оснований обработки персональных данных, включая согласие субъекта персональных данных
По общему правилу, обработка персональных данных осуществляется ссогласия субъекта персональных данных. Согласие является одним из
ключевых правовых оснований обработки, отражающим принадлежность
персональных данных гражданину и возможность распоряжаться ими по
своему усмотрению.
Однако согласие не является единственным легитимным основанием
обработки персональных данных.
14. Согласие субъекта персональных данных представляет собой:
свободноеоднозначное
информированное
выражение его воли, посредством которого он
разрешает обработку своих персональных
данных.
15. Свободное выражение согласия
Добровольно, без принуждения, без условийРазделение целей:
• не рекомендуется получать одно согласие на
достижение всех целей;
• если оператор заинтересован в получении согласия
на несколько несвязанных между собой целей
обработки, то он обязан получать согласие на каждую
цель по отдельности.
16. Однозначное согласие
Это совершение субъектом персональных данныхчеткого намеренного действия
Согласие не будет однозначным, если:
• галочки на обработку заранее проставлены, а отказаться от
обработки можно лишь «сняв их»;
• отсутствует возможность отказаться от обработки при
посещении сайта (например, есть только кнопка «даю
согласие»);
• кнопка «не даю согласие» трудноразличима либо возникает не
одномоментно с кнопкой «даю согласие» или пропадает через
некоторое время.
17. Информированное согласие
Направлено на реализацию требования Закона обобеспечении прозрачного характера обработки
персональных данных и означает предоставление
субъекту персональных данных соответствующей
информации до получения такого согласия.
18. Информация, которую оператор обязан предоставить до получения согласия
Наименование ( собственное имя, отчество (если таковое имеется)) и местонахождения (адрес места жительства (места пребывания)) оператора, получающего
согласие субъекта персональных данных
Цели обработки персональных данных
Перечень персональных данных на обработку которых дается согласие субъекта
персональных данных
Срок на который дается согласие субъекта персональных данных
Информацию об уполномоченных лицах в случае, если обработка персональных
данных будет осуществляться такими лицами
Перечень действий с персональными данными, на совершение которых дается
согласие субъекта персональных данных, общее описание используемых оператором
способов обработки персональных данных
Иную информацию необходимую для обеспечения прозрачности процесса обработки
персональных данных
19. Ведение учета и хранение полученных согласий
Законодательство не устанавливает конкретных требований по вопросам веденияучета и хранения полученных согласий в законодательстве не содержится
конкретных рекомендаций по их организации. Оператор может самостоятельно
определять, каким образом осуществлять учет и хранение полученных согласий.
Пунктом 7 статьи 5 Закона установлена обязанность оператора по доказыванию
получения согласия субъекта персональных данных. Соответственно, отсутствие
документа, подтверждающего факт предоставления информации,
предусмотренной пунктом 5 статьи 5 Закона, может повлечь признание такого
согласия недействительным и, следовательно, обработки персональных данных на
его основании незаконной.
20. ДОГОВОР
Согласие субъекта персональных данных на обработку не требуется приполучении персональных данных оператором на основании договора,
заключенного (заключаемого) с субъектом персональных данных, в целях
совершения действий, установленных этим договором.
Обработка персональных данных по этому правовому основанию будет
соответствовать Закону, если:
оператор осуществляет обработку персональных данных физического лица
только для целей совершения действий, установленных договором, т.е. когда
обработка персональных данных является необходимой для оказания услуг,
выполнения работ, совершения действий в отношении конкретного
физического лица, и без обработки таких данных выполнение обязательств
по договору невозможно или существенно затруднено.
21. Документ, адресованный оператору
Согласие субъекта персональных данных на обработку не требуется при полученииперсональных данных, когда они указаны в документе, адресованном оператору и
подписанном субъектом персональных данных, в соответствии с содержанием такого
документа.
Данное правовое основание может быть применено, если:
- документ адресован оператору;
- документ подписан субъектом персональных данных (собственноручно либо с использованием
электронной цифровой подписи или иных технических средств, компьютерных программ,
информационных систем или информационных сетей, если такой способ подписания позволяет
достоверно установить, что документ подписан субъектом персональных данных);
- обработке подлежат те персональные данные, которые указаны в документе;
- обработка осуществляется для целей, указанных в документе.
Примеры: подача заявлений на оказание материальной помощи, частичное возмещение
стоимости путевок санаторно-курортные и оздоровительные учреждения, компенсацию
стоимости подписки, абонементов и т.п.
22. Обработка общедоступных персональных данных
Общедоступные персональные данные –ПД, распространенные самим субъектом
ПД либо с его согласия или
распространенные в соответствии с
требованиями законодательных актов
23. Обработка в научных или иных исследовательских целях
Данное правовое основание может быть применено приодновременном соблюдении следующих условий:
- обработка персональных данных осуществляется в научных
или иных исследовательских целях;
- персональные данные обезличены.
Обезличивание – это действия, в результате которых
становится невозможным без использования дополнительной
информации определить принадлежность персональных
данных конкретному субъекту персональных данных.
24. Защита жизни, здоровья или иных жизненно важных интересов человека
Данное правовое основание может быть использовано приодновременном соблюдении двух условий:
обработка персональных данных необходима для целей
защиты жизни, здоровья или иных жизненно важных
интересов либо самого субъекта персональных данных, либо
иных лиц;
получение согласия субъекта персональных данных на
обработку персональных данных невозможно.
25. Обработка для исполнения обязанностей (полномочий), предусмотренных законодательным актом
Данное правовое основание, как правило, применяется вслучаях, когда имеют место превалирующие интересы
государства и общества над правами конкретного субъекта
персональных данных, в частности, когда обработка
необходима для реализации государственных функций
(например, отправление правосудия, борьба с коррупцией),
которые не могут зависеть от волеизъявления отдельного
лица.
26. 3. Принципы обработки персональных данных (ст.4 Закона)
Прозрачность и законностьОграниченность целью
Минимум информации
Управление данными
Ограничение срока хранения
Безопасность хранения
27. 4. Права субъекта персональных данных и обязанности оператора
Для реализации прав субъект персональныхданных подает оператору заявление в
письменной форме либо в виде электронного
документа
28. Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональныхданных, адрес его местожительства.
дату рождения субъекта персональных данных;
Идентификационный номер субъекта персональных данных, при отсутствии такого номера
– номер документа, удостоверяющего личность субъекта персональных данных, в случаях,
если эта информация указывалась субъектом персональных данных при даче своего
согласия оператору или обработка персональных данных осуществляется без согласия
субъекта персональных данных;
изложение сути требований субъекта персональных данных;
Личную подпись либо электронную цифровую подпись субъекта персональных данных.
29. Права субъекта персональных данных
Право на получение информации, касающейся обработки персональныхданных
Право на изменение персональных данных
Право на получение информации о предоставлении персональных
данных третьим лицам
Право требовать прекращения обработки персональных данных и (или)
их удаления
Право на обжалование действий (бездействия) и решений оператора,
связанных с обработкой персональных данных
30. Право на отзыв согласия субъекта персональных данных
Субъект персональныхданных вправе в любое время
без объяснения причин
отозвать свое согласие
посредством подачи оператору
заявления либо в форме,
посредством которой
получено его согласие.
Оператор обязан в
пятнадцатидневный срок
после получения заявления
субъекта персональных данных
в соответствии с его
содержанием прекратить
обработку персональных
данных, осуществить их
удаление и уведомить об этом
субъекта персональных данных,
если отсутствуют иные
основания для таких действий с
персональными данными,
предусмотренные Законом и
иными законодательными
актами.
31. Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения не
является незаконной.Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы,
кинохроникальные программы, иная информационная продукция, содержащие
персональные данные, выпущенные до момента отзыва согласия субъекта
персональных данных, не подлежат
изъятию из гражданского оборота.
Право на отзыв согласия возможно
реализовать только тогда, когда
правовым основанием обработки
персональных данных выступает
согласие
получение согласия посредством
проставления субъектом персональных
данных соответствующей отметки на
интернет ресурсе означает, что оператор
должен предусмотреть возможность
отзыва в такой же форме (как вариант,
посредством утверждения отдельной
опции об отзыве согласия с
проставлением отдельной галочки)
32. Право на получение информации, касающейся обработки персональных данных
Субъект персональныхданных имеет право на
получение информации,
касающейся обработки
своих персональных
данных.
При этом субъект
персональных данных не
должен обосновывать свой
интерес к запрашиваемой
информации
Оператор обязан в течение пяти рабочих дней
после получения соответствующего заявления
субъекта персональных данных, если иной срок
не установлен законодательными актами,
предоставить ему в доступной форме
запрашиваемую информацию либо уведомить
его о причинах отказа в ее предоставлении.
Предоставляется такая информация субъекту
персональных данных бесплатно, за
исключением случаев, предусмотренных
законодательными актами.
33. Право на изменение персональных данных
Субъектперсональных
данных вправе
требовать от
оператора внесения
изменений в свои
персональные данные
в случае, если
персональные данные
являются неполными,
устаревшими или
неточными.
Оператор обязан в пятнадцатидневный
срок после получения заявления субъекта
персональных данных внести
соответствующие изменения в его
персональные данные и уведомить об
этом субъекта персональных данных либо
уведомить субъекта персональных
данных о причинах отказа во внесении
таких изменений, если иной порядок
внесения изменений в персональные
данные не установлен законодательными
актами.
34. Право на получение информации о предоставлении персональных данных третьим лицам
Субъект персональных данных вправеполучать от оператора информацию о
предоставлении своих персональных
данных третьим лицам бесплатно один
раз в календарный год , если иное не
предусмотрено Законом «О защите
персональных данных» и иными
законодательными актами.
Оператор обязан в пятнадцатидневный
срок после получения заявления
субъекта персональных данных
предоставить ему информацию о том,
какие персональные данные этого
субъекта и кому предоставлялись в
течение года, предшествовавшего дате
подачи заявления, либо уведомить
субъекта персональных данных о
причинах отказа в ее предоставлении.
35. Право требовать прекращения обработки персональных данных и (или) их удаления
Субъект персональныхданных вправе требовать
от оператора бесплатного
прекращения обработки
своих персональных
данных, включая их
удаление, при отсутствии
оснований для обработки
персональных данных,
предусмотренных Законом
и иными
законодательными актами.
Оператор обязан в пятнадцатидневный срок
после получения заявления субъекта
персональных данных обработку персональных
данных, а также осуществить их удаление
(обеспечить прекращение обработки персональных
данных, а также их удаление уполномоченным
лицом) и уведомить об этом субъекта персональных
данных.
Оператор вправе отказать субъекту персональных данных в
удовлетворении требований о прекращении обработки его
персональных данных и (или) их удалении при наличии
оснований для обработки персональных данных,
предусмотренных Законом и иными законодательными
актами, в том числе если они являются необходимыми для
заявленных целей их обработки, с уведомлением об этом
субъекта персональных данных в пятнадцатидневный срок.
36. Право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных
Субъект персональных данных вправе обжаловать действия(бездействие) ирешения оператора, нарушающие его права при обработке персональных данных,
в уполномоченный орган по защите прав субъектов персональных данных в
порядке, установленном Указом Президента Республики Беларусь от
28октября 2021г. №422 «О мерах по совершенствованию защиты
персональных данных».
Жалоба может быть направлена на действия (бездействие), которые
непосредственно затрагивают права, свободы и законные интересы субъекта
персональных данных, подающего жалобу, в течение трех месяцев со дня, когда
о них стало известно лицу, направившему жалобу.
37. Обязанности оператора:
Разъяснять субъекту персональных данных его права, связанные с обработкойперсональных данных
Получать согласие субъекта персональных данных, за исключением случаев,
предусмотренных Законом «О защите персональных данных» и иными
законодательными актами
Обеспечивать защиту персональных данных в процессе их обработки
Уведомлять уполномоченный орган по защите прав субъектов персональных данных о
нарушениях систем защиты персональных данных незамедлительно, но не позднее
трех рабочих дней после того, как оператору стало известно о таких нарушениях, за
исключением случаев, предусмотренных уполномоченным органом по защите прав
субъектов персональных данных
Осуществлять изменение, блокирование или удаление недостоверных или полученных
незаконным путем персональных данных субъекта персональных данных по
требованию уполномоченного органа по защите прав субъектов персональных данных,
если иной порядок внесения изменений в персональные данные, их блокирования или
удаления не установлен законодательными актами
Исполнять требования уполномоченного органа по защите прав субъектов
персональных данных об устранении нарушений законодательства о персональных
данных
Выполнять иные обязанности, предусмотренные Законом «О защите персональных
данных» и иными законодательными актами
38. 5. Меры по обеспечению защиты персональных данных.
Назначение структурного подразделения или лица, ответственного заосуществление внутреннего контроля за обработкой персональных данных
Издание документов, определяющих политику отношении обработки
персональных данных
Ознакомление работников и иных лиц, непосредственно осуществляющих
обработку персональных данных
Обучение работников по вопросам работы с персональными данными,+ внесение
изменений в должностные обязанности лиц, обрабатывающих персональные
данные
Определение перечня информационных ресурсов (систем),содержащих
персональных данных, установление порядка доступа к ним
Установление перечня уполномоченных лиц
Осуществление технической и криптографической защиты персональных данных
в соответствии с классификацией информационных ресурсов
(систем),содержащих ПД
39. 6. Особенности обработки персональных данных в трудовых отношениях
Обработка персональных данныхсубъектов осуществляется нанимателем:
при подборе персонала (рассмотрение анкет, резюме);
при оформлении трудовых (служебных) отношений, в
процессе трудовой (служебной) деятельности;
после прекращения трудовых (служебных) отношений;
вне рамок непосредственного исполнения трудовых
обязанностей
40. Субъекты персональных данных при обработке персональных данных в связи с трудовыми отношениями:
РаботникиБывшие работники
Члены семей, родственники работников, бывших
работников, иные субъекты персональных данных
Соискатели на трудоустройство
41. СОГЛАСИЕ Не требуется Требуется
согласие субъекта персональныхданных на обработку
персональных данных не
требуется при оформлении
трудовых (служебных)
отношений, а также в процессе
трудовой (служебной)
деятельности субъекта
персональных данных в случаях,
предусмотренных
законодательством.
если взаимоотношения между
нанимателем и работником не
основаны непосредственно на
исполнении трудовых
обязанностей (например, участие
работников в общественной
жизни организации, спортивных,
культурно массовых
мероприятиях, организация
добровольного медицинского
страхования, посещение
бассейна и т. п.);
42.
Согласие не является универсальным правовымоснованием, которое может заменять иные правовые
основания.
Согласие также не является необходимым условием для
обработки персональных данных.
Получение согласия на обработку персональных данных
в случаях, когда оно не требуется, является избыточной
обработкой персональных данных.
43. Реестр обработки персональных данных – должен быть на каждом предприятии! Персональные данные должны обрабатываться в
соответствии с данным реестромРеестр обработки персональных данных может отражать
Цель обработки
Подразделение ( ответственное за обработку
Категории лиц, чьи персональные данные обрабатываются категории персональных данных
Правовая основа обработки
Сроки хранения персональных данных
44. Прекращение обработки персональных данных:
Основания прекращения обработки:-
Достижение цели
-
Обнаружение неправомерной обработки
-
Требование НЦЗПД
-
Требование субъекта персональных данных
-
Отзыв согласия субъектом
-
Прекращение деятельности организации
Путем удаления (физически или системно) или блокирования
45. Акты составляются в произвольной форме ОБЕЗЛИЧЕННО
В актах указывается:Дата удаления (уничтожения)
Состав комиссии
Количество субъектов, чьи персональные данные
подверглись удалению (уничтожению)
Цель обработки
Причина удаления (уничтожения)
46. Типичные ошибки при обработке персональных данных в трудовых отношениях
1. Хранение резюме кандидатов, в том числе в информационных ресурсах дольшеустановленного законодательством срока.
2. Получение согласия работников на обработку персональных данных без указания
целей обработки или в случаях, когда обработка осуществляется на основании
Законодательства
3. Получение от работников обязательства по неразглашению персональных данных
4. Сбор копий документов (копии паспорта, военного билета, свидетельства о браке и
т. п.) и включение их в личные дела работников.
5. Нарушение сроков хранения информации о работниках в информационных ресурсах
6. Размещение в локальных сетях, на информационных стендах организации сведений
о датах рождения работников без их согласия
7. Предоставление профсоюзной организации доступа к информационным ресурсам
нанимателя, содержащим персональные данные работников
47. Ответственность за нарушение законодательства о персональных данных
1. Лица, виновные в нарушении Закона о защитеперсональных данных, несут ответственность,
предусмотренную законодательными актами.
2. Моральный вред, причиненный субъекту персональных
данных вследствие нарушения его прав, подлежит
возмещению. Возмещение морального вреда осуществляется
независимо от возмещения имущественного вреда и
понесенных субъектом персональных данных убытков.
48. Статья 23.7 КоАП. Нарушение законодательства о защите персональных данных
Умышленные незаконные сбор, обработка, хранение или предоставлениеперсональных данных физического лица либо нарушение его прав, связанных с
обработкой персональных данных, -
-влекут наложение штрафа в размере до 50 базовых величин.
2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом,
которому персональные данные известны в связи с его профессиональной или
служебной деятельностью, -
-влекут наложение штрафа в размере от четырех до 100 базовых величин.
3. Умышленное незаконное распространение персональных данных физических лиц
- влечет наложение штрафа в размере до 200 базовых величин.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц - влечет наложение штрафа в размере от 2 до 10 базовых величин, на ИП- от 10 до 25
базовых величин, а на ЮЛ- от 20 до 50 базовых величин.
49. Статья 203-1 УК. Незаконные действия в отношении информации о частной жизни и персональных данных
1. Умышленные незаконные сбор, предоставление информации о частнойжизнии (или) персональных данных другого лица без его согласия, повлекшие
причинение существенного вреда правам, свободам и законным интересам
гражданина,
-наказываются общественными работами, или штрафом, или арестом, или
ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
2. Умышленное незаконное распространение информации о частной жизни и
(или) персональных данных другого лица без его согласия, повлекшие причинение
существенного вреда правам, свободам и законным интересам гражданина,
-наказываются лишением права занимать определенные должности или заниматься
определенной деятельностью со штрафом или ограничением свободы на срок до
трех лет со штрафом, или лишением свободы на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в
отношении лица или его близких в связи с осуществлением им служебной
деятельности или выполнением общественного долга,
-наказываются ограничением свободы на срок до пяти лет со штрафом, или
лишением свободы на тот же срок со штрафом.
50. Статья 47 ТК. Дополнительные основания прекращения трудового договора с некоторыми категориями работников при определенных
условияхПомимо оснований, предусмотренных настоящим Кодексом,
трудовой договор с некоторыми категориями работников
может быть прекращен в случаях:
10) нарушения работником порядка сбора, систематизации,
хранения, изменения, использования, обезличивания,
блокирования, распространения, предоставления, удаления
персональных данных.
Право