Защита персональных данных граждан

GDPR

25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Федеральный закон РФ № 152-ФЗ

В соответствии с Федеральным законом «О персональных данных» Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных.

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, потери ценной информации, привлечения организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановления действия или аннулирования лицензий на основной вид деятельности организации, репутационных рисков.

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Компания «Газинформсервис» реализует ряд услуг, которые помогут компаниям в решении широкого спектра задач в области GDPR

  • Пять шагов на пути к успешному выполнению требований регламента GDPR:
  •   Проведение GAP-анализа (анализа разрывов) соблюдения требований GDPR.
  •   Изучение правовых аспектов текущего уровня соответствия требованиям GDRP:
  • наличие и содержание согласий (на предмет понятности, информированности, добровольности, простоты отзыва, учёта)
  • обработка запросов субъектов (право на забвение, возражения против обработки ПДн, блокировка ПДн, корректировка данных)
  • соответствие локальных нормативных актов
  • готовность организации к соблюдению требований

  Аудит технической готовности информационных систем к выполнению требований:

  • выражение согласий на обработку cookie-файлов при предоставлении web-доступа к сервисам
  • механизмы выражения согласий на обработку ПДн при предоставлении web-доступа к сервисам
  • наличие в используемых системах технических возможностей уничтожения, блокирования данных и т.п.

  Оказание консультаций и помощи, например, в тех случаях, если Россия будет включена в список стран, не обеспечивающих адекватную защиту ПДн ((103), (114), article 45).

  Консультирование и подготовка ответственного за обеспечение безопасности данных (data protection officer, articles 37-39) и представителя контролёра (Representatives of controllers or processors, article 27).

Выполнение требований Федерального закон РФ № 152-ФЗ «О персональных данных»

ООО «Газинформсервис» предлагает комплексное решение защиты персональных данных, которое включает проектирование системы защиты ПДн (СЗПДн), комплекс организационных и (или) технических мер по внедрению системы, сопровождение и доработку.

Система защиты персональных данных в каждом конкретном случае учитывает специфику процессов организации, и в любом случае позволяет защищать рабочие станции от актуальных угроз безопасности. Специалисты «Газинформсервис» при внедрении системы защиты ПДн видят свою задачу не только в реализации требований регуляторов, но и в создании полноценной системы обеспечения безопасности.

Цели защиты персональных данных (ПДн)

  • Защита законных прав сотрудников, руководителей и клиентов предприятия в соответствии с законодательством Российской Федерации. Если в компании защита персональных данных не соответствует законодательству РФ, существует высокая вероятность жалоб бывших сотрудников и клиентов в Роскомнадзор!
  • Обеспечение соответствия требованиям законодательства РФ в области защиты персональных данных. Роскомнадзор осуществляет как плановые, так и внеплановые проверки. В случае выявления нарушений предприятию выписываются штрафные санкции.
  • Защита клиентской базы. Утечка персональных данных клиентов может повлечь убытки компании.

Проблемы, с которыми сталкиваются предприятия при обработке персональных данных 

  Масштабность

Обработка персональных данных представляет собой любые действия, включая сбор, хранение, использование, передачу, запись и уничтожение данных. Причем обработка осуществляется не только в отделе кадров, как ошибочно думает большинство руководителей компании. Обработка также осуществляется:

  • при ведении документооборота
  • использовании электронной почты
  • ведении воинского учета
  • осуществлении охраны труда
  • проведении медицинского осмотра
  • ведении тендерной документации и т.д.

 Нехватка ресурсов

  • На предприятиях, как правило, отсутствуют специалисты, обладающие достаточной компетенцией для решения задач по защите персональных данных в соответствии с требованиями законодательства РФ.
  • Высокая загруженность ответственного за обработку персональных данных в силу совмещения должностных обязанностей. Вследствие этого невозможность проводить регулярные мероприятия по защите и контролировать состояние защищенности.

 Незнание специфической информации

Из-за отсутствия наработанной практики и знания «тонких» моментов по защите персональных данных, таких как сертификация средств защиты, специальные категории ПДн и пр., возникает вероятность выявления несоответствий регуляторами (Роскомнадзор, ФСТЭК, ФСБ). Это может привести к затратам большого количества ресурсов, а также к штрафным санкциям со стороны регуляторов.

 Необходимость соответствия часто меняющемуся законодательству

Одной из основных особенностей построения эффективной системы защиты персональных данных является необходимость постоянного соответствия часто меняющемуся законодательству. Так, например, ФСТЭК России ввел 7 дополнительных составов административных правонарушений (ФЗ от 07.02.2017 №13-ФЗ, ст.13.11). Данный законодательный акт указывает, что:

  • Процедура наказания упрощена составлением протокола Роскомнадзором прямо на месте.
  • Повысилось количество оснований привлечь Оператора к ответственности.
  • Возросли штрафные санкции, расчёт ведется по количеству нарушений и численности субъектов ПДн. Штрафы на каждого человека достигают 75 000 руб. Нетрудно подсчитать, что при численности 50-100 человек эта сумма может достигать 3 750 000-7 500 000 руб. и выше.

Этапы создания системы по защите персональных данных

  • Изучение процессов обработки персональных данных.
  • Разработка документации.
  • Техническое проектирование и разработка рабочей документации.
  • Ввод в действие.
  • Сопровождение.

Защита персональных данных граждан

Выгоды построения системы защиты персональных данных

 Репутация. Благодаря внедрению мероприятий по защите персональных данных компания получает репутацию надежного партнера в глазах клиентов, сотрудников, контрагентов.

Защита клиентской базы. Клиентская база нарабатывается годами, а ее потеря может произойти за считанные минуты, что грозит большими убытками компании. Построение системы защиты является просто необходимым условием сохранения главного актива предприятия.

Выполнение требований регуляторов.

Отсутствие жалоб субъектов и штрафных санкций.

Почему нам доверяют?

 

Наличие всех необходимых лицензий. Имеем все необходимые лицензии и аккредитации для ведения деятельности в области защиты персональных данных.

 

Комплексный подход к работе. Реализуем проекты любого уровня сложности и предлагаем полный комплекс услуг, в том числе, гарантийное сопровождение и поддержку. Также проводим обучение сотрудников, т.к. основными нарушителями правил обработки персональных данных являются именно сотрудники организации.

Доработка системы под нужды заказчика. Работаем по «модульной» схеме. В зависимости от текущего состояния защищенности персональных данных оказываем определенный набор услуг и предлагаем решения, которые максимально полезны в конкретном случае.

Обширный опыт по реализации проектов любого масштаба. Обладаем серьезным опытом ведения проектов по защите персональных данных, начиная от небольших организаций и заканчивая крупными заказчиками федерального значения. Наши специалисты выезжают во все регионы России.

Содействие при прохождении проверок регуляторов. Наработана практика прохождения с нашим участием проверок Роскомнадзора с учетом специфики регионов для различных организаций. Это помогает нашим клиентам избежать ошибок и лишних трат.

  1. Есть вопросы? Обратитесь к нашим специалистам

Как защищены персональные данные россиян

Федеральный закон N 152-ФЗ — это отдельный закон о персональных данных в РФ. Он касается их обработки, хранения и доступа к ним. Цель этого закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Читайте также:  Заявление о возврате: на следующий день я сдал его в магазин, но поступил необдуманно

Еще один закон — N 149-ФЗ «Об информации, информационных технологиях и о защите информации». В нем, например, есть статья 15.

5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».

В ней говорится о создании в РФ реестра нарушителей прав субъектов персональных данных. Туда попадают ресурсы, нарушившие Закон «О персональных данных».

Ответственность за нарушения правил работы с персональными данными прописана и в КоАП, и в УК РФ. В КоАП есть, например, статья 13.11 «Нарушение законодательства Российской Федерации в области персональных данных». Максимальная санкция в ней — административный штраф в размере до 18 млн рублей.

В УК РФ есть статья 137 «Нарушение неприкосновенности частной жизни», по которой также может наступить ответственность за нарушение правил обращения с персональными данными — необходимо доказать, что нарушитель имел прямой или косвенный умысел причинить вред человеку.

Новый закон

Государственная Дума приняла 23 декабря 2020 года закон о дополнительной защите персональных данных россиян. Закон вступит в силу уже 1 марта 2021 года, за исключением отдельных положений. В соответствии с ним получение согласия на распространение этих данных «по умолчанию» не допускается. 

Согласие на обработку данных может даваться непосредственно оператору персональных данных (вот тут находится реестр) или через специальную информационную систему Роскомнадзора. Отмечается, что молчание или бездействие ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Кроме того, операторы обязаны будут удалять персональные данные по первому запросу пользователей.

Законом устанавливается, что в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Персональные данные: как хранить, обрабатывать и защищать по закону — Право на vc.ru

Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.

{«id»:162911,»gtm»:null}

Unsplash

Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн).

Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн.

Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»

Телефон, email, фотография, ФИО — всё это может считаться ПДн.

Категории ПДн в форме на сайте Роскомнадзора.

Также к ПДн можно отнести:

  • национальность;
  • политические, философские и религиозные взгляды;
  • место регистрации;
  • информацию о здоровье, отпечатки пальцев и образцы голоса;
  • информация о судимостях;
  • номер телефона и электронная почта;
  • СНИЛС, ИНН и паспортные данные;
  • ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Скриншот с сайта Роскомнадзора с разными категориями

Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.

Определенные ПДн входят в категорию специальных, а именно информация о:

  • расе, национальности и религии;
  • политических и философских взглядах;
  • здоровье;
  • подробностях личной жизни;
  • судимостях.

Это информация о физиологических и биологических особенностях человека:

  • отпечатки пальцев;
  • генетическая информация;
  • рисунок радужной оболочки глаз;
  • образцы голоса;
  • фотографии.

Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:

Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.

Сюда входят ПДн, что не относятся ко всем предыдущим. Например:

  • электронная почта или геолокация;
  • информация о принадлежности к определенной социальной группе;
  • стаж работы;
  • и т.д.

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.

Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.

Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн.

В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает.

Но в интернете письменную форму согласия заменяют на электронную.

Пример с сайта uchi.ru

В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.

Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора cookies тоже понадобится разрешение на сбор ПДн.

Пример разрешения

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».

Читайте также:  Можно ли вернуть пуховик в магазин?

Исключения. Согласие на сбор ПДн нужно не всегда.

Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК.

При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта, а также обязательно нужно удостовериться, что ЦОД соответствует 152-ФЗ и имеет все необходимые лицензии (о них ниже).

Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором.

Например, облако на базе VMware в Selectel соответствует 152-ФЗ и требованиям Роскомнадзора, имеет лицензии ФСТЭК и ФСБ, и может хранить данные любых категорий.

Всё, что происходит с ПДн — это обработка:

  • передача по сети;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

Сбор — это тоже обработка.

Обработка бывает трех видов:

  • Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

Условия. Как и сбор, обработка ПДн должна проходить с разрешения субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.

Исключения. Разрешение не обязательно в тех же исключительных случаях, что и для сбора. Но есть и дополнительные, например:

  • разрешение не обязательно госорганам: для предоставления госуслуг, в судопроизводстве, и в других случаях, когда этого требует закон;
  • при неавтоматизированной обработке;
  • когда человек сам опубликовал свои данные публично;
  • когда все данные — это только ФИО.

Опять же, на большинство ресурсов в интернете исключения не распространяются.

Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.

Условия. К хранению ПДн много требований со стороны 152-ФЗ.

  • Данных нужно хранить столько, сколько достаточно для обработки.
  • Информация должна храниться так, чтобы можно было определить субъекта.
  • Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
  • Если есть базы данных с разными ПДн, собранные для разных целей, их нельзя объединять.
  • После обработки ПДн должны быть уничтожены или обезличены.
  • Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.

Основные нормы хранения персональных данных закреплены 149-ФЗ.

Субъект может в любой момент запросить у оператора (в письменном или электронном виде) какие данные на него есть, где и кем хранятся его ПДн. А если информация неточная или старая — может потребовать все удалить.

Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому системы хранения ПДн должны быть хорошо защищены. Критерий «хорошо» означает уровень защиты (УЗ). Уровни защиты описаны в 21 приказе ФСТЭК и связаны с категорией ПДн.

  • 1 УЗ — для спецданных, которые нуждаются в самой серьезной защите. Часто эти ПДн можно использовать, чтобы нанести ущерб. Например, технически УЗ требует безотказной работы серверов.
  • 2 УЗ — для биометрических данных (хотя для них подходит и 1 УЗ). Здесь, например, требуется резервное копирование и установки системы обнаружения вторжений.
  • 3 УЗ — для иных данных. Здесь, например, достаточно ограничения доступа к системам.
  • 4 УЗ — для общедоступных данных. Для них достаточно простой защиты, например, антивирусного приложения. Общедоступные ПДн не скрывают, их легко получить и сложной защиты не нужно.

Требования описаны в «Приложении» к приказу — всего их 109. Есть общие для всех.

  • Установить серверы в защищенном месте.
  • Обеспечить ограниченный доступ к серверами и установить запрет на подключение к ним напрямую.
  • Настроить доступ к данным только для тех, у кого есть на это права.
  • Поставить ПО, которое защищает от угроз: межсетевые экраны, антивирусные программы.
  • Использовать ПО, сертифицированное ФСТЭК.

Есть специфические для каждого УЗ. каждый оператор обязан самостоятельно определить уровень защиты ПДн и настроить защищенную IT-инфраструктуру, в соответствии с уровнем. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.

Подтвердить уровень защищенности можно технической документацией, которую отправляют в ФСТЭК.

Примечание. Если храните данные в ЦОД, то он обязательно должен иметь аттестат на соответствие требований приказа ФСТЭК.

Аттестат гарантирует, что инфраструктура провайдера соответствует приказу ФСТЭК и данные надежно защищены. Обычно в аттестованных ЦОД можно хранить ПДн данные 1 и 2 УЗ.

ЦОД Selectel аттестованы по 152-ФЗ и имеют лицензии ФСТЭК и ФСБ, и могут хранить данные также 1 и 2 УЗ.

Операторы обязаны подать заявление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.

Подготовить оборудование, ПО и инженерные системы недостаточно. Для хранения ПДн нужно еще много документов. Не считая тех, о которых уже говорили, это:

  • Модель угроз безопасности. В документе описываются опасности, которые угрожают системе хранения и обработки ПДн.
  • Приказ о назначении ответственного за безопасность персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за все, что происходит с ПДн.
  • Приказ о допуске к обработке. В приказе прописываются все, у кого есть доступ к ПДн.
  • Инструкция пользователя системы ПДн. Дополнение к приказу, в котором описано, как обращаться с ПДн.

Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.

Иногда Роскомнадзор проверяет ресурсы — собирают ли они ПДн и зарегистрировались ли как оператор. За нарушения штрафует, согласно статье 13.11 КоАП РФ.

Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или хранит ПДн в базах данных в других странах.

Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Положения об обработке данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.

В особо тяжелых случаях есть также и уголовная ответственность.

Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Аттестованный ЦОД помогает оператору не беспокоиться о требованиях регулятора по вопросам оборудования, физической безопасности данных, контроля доступа и уничтожения ПДн. Но вся ответственность на операторе.

Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.

Чтобы собирать, хранить и обрабатывать ПДн, нужно соблюдать 152-ФЗ:

  • Зарегистрироваться в Роскомнадзоре, как оператор.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать лишнее.
  • Отвечать на обращения субъектов и предоставляете всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей в определенный срок.
  • Хранить и защищать ПДн по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Не пропускайте полезные материалы, подписывайтесь на блог Selectel.

#Selectel #персональные_данные #право

Судебная практика по спорам о защите персональных данных

Конституционный Суд РФ решил, что норма Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.

Читайте также:  Выселение из квартиры: купля продажа не состоялась так как не хватало всех документов

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ, поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению. Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие «частная жизнь» включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер. Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

За нарушение требований статьи 4 Закона РФ от 27 декабря 1991 года N 2124-1 «О средствах массовой информации» и опубликование редакцией газеты «Лабинские вести» материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты «Лабинские вести». Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты «Лабинские вести».

Решением суда первой инстанции исковое заявление Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций было удовлетворено и деятельность газеты прекращена. В качестве апелляционной инстанции в этом процессе Судебная коллегия по административным делам Верховного Суда Российской Федерации. В определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7 судьи не нашли оснований для отмены решения суда первой инстанции. Причиной для такого решения послужил тот факт, что в силу статьи 4 Закона РФ от 27 декабря 1991 года N 2124-1 «О средствах массовой информации» не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Новелла статьи 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такие нарушения должны происходить не менее, чем в течение двенадцати месяцев. Как это происходило в спорной ситуации, по поводу чего регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Кроме того, судьи отметили, что по нормам статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» такими данными признается любая информация, которая относится к прямо или косвенно определенному субъекту персональных данных. К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. В соответствии с требованиями закона обработка персональных данных может осуществляться только с письменного согласия в письменной форме субъекта персональных данных. Поэтому, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Объективных доказательств того, что у редакции газеты были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов судами получено не было.

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию.

Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства.

Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ. Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине «Покупочка». При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона «О персональных данных» истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной. Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Однако, по нормам Закона РФ от 7 февраля 1992 г. N 2300-1 «О защите прав потребителей» покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г. N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом, продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У). В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *