Федеральный закон «О персональных данных»
Федеральный закон «О персональных данных»
(ФЗ № 152 «О персональных данных») — нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г, но с 27 декабря 2009 года его требования для систем запущенных до 01.01.2010 будут действовать с 01.01.2011 (ФЗ 363).
Целью закона является защита прав и свобод человека при обработке его персональных данных.
В соответствии с законом № 152 «О персональных данных», в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в т.ч. фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных. Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПДн должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд бюрократических действий:
- Направить уведомление об обработке персональных данных (ФЗ 152 Статья 22 п 3)
- Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (ФЗ 152 Статья 9 п 4)
(В процессе разработки)
Ссылки:
- Федеральный закон о персональных данных на сайте «Российской газеты».
- ru.wikipedia.org
- Интересное мнение про ПД
Что необходимо сделать, чтоб соответствовать требованиям закона о персональных данных
Уведомление об обработке персональных данных (почему это можно не делать) (Статья 22).
Можно не уведомлять, если:
1. из пункта 22.2.2, если ПД полученны оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
2. из пункта 22.2.5, если данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
3. из пункта 22.2.6, если необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
Биометрические и специальные категории персональных данных (ФЗ 152 Статья 10, 11)
Являются ли хранимые данные специальными?
В DentMaster хранится информация о сотоянии здоровья, что согласно Статьи 10 п1 Обработка специальных категорий персональных данных, касающихся ..., состояния здоровья, .... Определяется как специальная. Использование модуля "Зубная формула" и фотографии клиента в карточке клиента согласно статьи 11 п1 (Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные)) являются Биометрическими.
В Алагаве, в модуле МО хранится информация о сотоянии здоровья и биометрических параметрах, что согласно Статьи 10 п 1 Обработка специальных категорий персональных данных, касающихся ..., состояния здоровья, .... Определяется как специальная, а фотография в карточке клиента, как биометрическая.
Обработка этих данных возможна (исходя из Статьи 10 п 2):
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
Таким образом доступ сотрудников к модулям данных систем содержащих данную информацию возможен только лицам профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну или если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
Биометрические данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Согласие субъекта персональных данных на обработку своих персональных данных
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, ..., возлагается на оператора.
Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Меры по обеспечению безопасности персональных данных при их обработке (ФЗ 152 Статья 19)
Т.к. храниние информации о клиенте, является работой с персональными данными, то все требования данного закона и подзаконных актов являются необходимым минимумом к выполнению.
Вывод.
Наше ПО не требует доработки для сответствия ФЗ 152, но требует определённого внимания к отдельным модулям, в которых не хранится ФИО клиента, но есть его фотография или данные о его состояния здоровья.
- Для комментирования войдите или зарегистрируйтесь
Новости
