Ukkaskadgel.ru

Документооборот онлайн
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Персональные данные права субъектов ПД Хабр

5 мифов о персональных данных

Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.

Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

  • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
  • обработка персональных данных при отсутствии письменного согласия субъекта;
  • неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

1. Персональные данные — это любые сведения о физическом лице

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).

«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

Читать еще:  Рекомендации для аттестующихся педагогов в 2021–2021 году

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.

Механизм реализации своих законных прав владельцами персональных данных

В предыдущей статье я рассказал о возможностях, которые предоставляет закон № 152 владельцу персональных данных. В этой частью статьи представлен сам механизм и формы запросов для реализации своих прав. В статье не рассматриваем вопрос, когда оператор вообще не имеет права обрабатывать персональные данные. Задача — сделать так, чтобы оператору персональных данных незаконная обработка этих данных стоила серьезных финансовых и временных затрат.

Для реализации своих прав владельцы персональных данных могут обращаться к операторам за следующей информацией.
*статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Имеет смысл рассмотреть перед обращением к оператору, является ли организация оператором, который должен быть зарегистрирован в реестре Роскомнадзора. Заходим на сайт и по названию организации или ее ИНН смотрим результат.

В каких случаях организация не регистрируется как оператор персональных данных:
*Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства

В случае если ваши отношения с оператором не попадают под вышеуказанные исключения, он должен быть в реестре операторов до начала обработки ваших персональных данных. Если его там нет, последствия для оператора персональных данных.

Далее пишем запрос и отправляем заказным письмом юридическому лицу, которому вы хотите предъявить претензии:

Оператору персональных данных ООО «Рога и копыта»

от Пупкина
паспорт: серия хххх выдан Отделением по району ххххххр. Москве хх, 1ххх г.

адрес для корреспонденции:
Москва, хххх.

На основании п.4 ст.14 Федерального Закона от 27.07.2006 года №152 «О персональных данных» прошу в срок установленный ФЗ. № 152 «О персональных данных», предоставить мне как субъекту – обладателю персональных данных доступ к моим персональным данным, находящимся во временном обладании ООО «Рога и копыта», а также следующую информацию:

1) подтверждение факта обработки персональных данных, а также цель такой обработки;
2) сведения об операторе персональных данных;
3) способы обработки персональных данных, применяемые оператором;
4) реализация оператором обязанности по обеспечению безопасности персональных данных;
5) наличие или отсутствие лицензирования по ТЗКИ при защите персональных данных;
6) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
7) перечень обрабатываемых персональных данных и источник их получения;
8) сроки обработки персональных данных, в том числе сроки их хранения;
9) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Нам должны ответить в течение 30 дней.

После получения ответа или по прошествии 30 дней, если ответ нас не удовлетворил, идем на сайт Роскомнадзора, и формируем заявление. Дублируем заказным письмом в адрес территориального органа Роскомнадзора, который относится к месту вашего проживания.

Заявление в Роскомнадзор:

хх хх 2011 г. мной, субъектом-обладателем персональных данных в адрес оператора ООО «Рога и копыта», во временном обладании которого находятся мои персональные данные, был направлен запрос в письменном виде на предоставление доступа к моим ПД, а также предоставления мне информации предусмотренной п.4 ст.14 ФЗ от 27.07.2006 г. № 152 «О персональных данных». Копия запроса прилагается.
хх.02.2011. я получил ответ от оператора ООО «Рога и копыта» №хх от хх.02.2011. Копия ответа прилагается.

Настоящий ответ не удовлетворил меня по следующим причинам:
1. Доступ к своим персональным данным я не получил.
2. Никакие из запрашиваемых в письменном обращении сведения мне предоставлены не были.
3. Ни на один поставленный в моем обращении вопрос разъяснений я не получил.

(Описываете, что еще вам не ответили)

Заявленной целью обработки ПД оператора ООО «Рога и копыта» является в том числе «обработка персональных данных физических лиц — клиентов ОАО «Рога и копыта» при осуществлении ____(указываете для каких целей обрабатывается).
Из условий договора, на который ссылается в своем ответе оператор ОАО «Рога и копыта» следует, что обрабатывает согласно договору хх.хх.2011 г. Договор № ххх1 от хх.хх.2004. был полностью исполнен.
Отсюда следует, что каких либо договорных отношений с ООО «Рога и копыта» нет и их заключение не предполагается. Заявленная оператором цель обработки ПД «обработка персональных данных физических лиц — клиентов ООО «Рога и копыта» при осуществлении условий выполнения договора» достигнута или не соответствует заявленной.

Считаю действия оператора ООО «Рога и копыта» по обработке моих персональных данных несоответствующими требованиям настоящего Федерального закона «О персональных данных» и нарушающими мои права и свободы.
После изучения ответа оператора на свой запрос считаю дальнейшую переписку с оператором ООО «Рога и копыта» нецелесообразной.
На основании вышеизложенного

ПРОШУ:
1. Оказать содействие в проведении проверки деятельности оператора ПД ООО «Рога и копыта» по обработке моих персональных данных на соответствие действующему законодательству в области персональных данных.
2. Оказать содействие в блокировании и уничтожении моих персональных данных, находящихся во временном обладании оператора – ООО «Рога и копыта» на основании достижения цели их обработки, а также иных выявленных нарушений в ходе проверки.
3. В случае уничтожения персональных данных обязать оператора ООО «Рога и копыта» уведомить меня – субъекта персональных данных о результате в письменном виде.

Ответ прошу выслать на адрес: ххххх

Вы можете включать любые пункты, по которым вы хотите получить дополнительные ответы, или если вам кажется, что действия оператора нарушают законодательство и ваши права.

По результату запроса в Роскомнадзор, вам должен прийти ответ о проведенной проверке и ее результатах.

Ну а по итогам думаем, идти ли дальше или оператор исправил свои ошибки.

Персональные данные (Краткий FAQ)

Что такое персональные данные?


Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
другая информация (см. ФЗ-152 , ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Читать еще:  УСН 6 или 15 что лучше выбрать
Что такое оператор и субъект персональных данных?


Оператор персональных данных — это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных — это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?


Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
категория 4 — обезличенные и (или) общедоступные персональные данные;
категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II. Определить объем персональных данных, обрабатываемых в информационной системе:
объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
объем 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Объем / Категория

Объем 3
(
Объем 2
(1 000-100 000,
отрасль, город)

Объем1
(>100 000,
субъект Федерации)

Категория 4 (обезличенные, общедоступные)

Класс 4

Класс 4

Класс 4

Категория 3 (идентификационные)

Класс 3

Класс 3

Класс 2

Категория 2 (идентификационные и еще)

Класс 3

Класс 2

Класс 1

Категория 1 (медицинские, социальные)

Класс 1

Класс 1

Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20 .

Судный день отсрочен до 1 января 2011 года


Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность .
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных


Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных


Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?


Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации. », п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации. », пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.

ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных


Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

Читать еще:  Бухучет нематериальных активов при УСН

Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Какими нормами и законами регулируется защита персональных данных?

Категория защиты персональных данных тесно связана с таким фундаментальным правом человека, как право на защиту неприкосновенности частной жизни, что прямо указывается в ст. 2 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О защите персональных данных». Хотя не всегда право на защиту персональных данных по своему объему совпадает с правом на защиту неприкосновенности частной жизни, положения его закрепляющие, а также некоторые положения гарантирующие иные основные права и свободы в Конституции РФ по существу включают и право на защиту персональных данных. Учитывая положения международных документов в области прав человека, опыта ЕС и других государств, в качестве примера таких положений Конституции охватывающих право на приватность и защиту персональных данных можно назвать ст. 23, 24, ч. 1 ст. 26.

При анализе текста Конституции, помимо отсутствия явно выраженного права на защиту персональных данных, обнаруживается непоследовательность в соответствующих положениях. Так, в случае ч. 2 ст. 23 Конституция предоставляет широкую защиту коммуникаций человека – «право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». А в ч. 1 ст. 24 закреплено требование получения согласия лица при обработке информации о его частной жизни (Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются), пределы которой не являются объективными: как неоднократно указывал Конституционный Суд РФ в своих решениях: «лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне». Похожая на положение ч. 1 ст. 24 Конституции РФ формулировка возведена также и в принцип регулирования отношений в сфере информации, информационных технологий и защиты информации (п. 7 ст. 3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Ст. 152.2 ГК РФ предусматривающая деликтную ответственность, в своей формулировке по большей части повторяет положения ч. 1 ст. 24 Конституции РФ, дополняя что к информации о частной жизни относятся в том числе сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни гражданина. Однако абзацем 1 п. 1 ст. 152.2 ГК РФ предусмотрено исключение из запрета на сбор, распространение и использование информации о частной жизни без согласия гражданина по ряду исчерпывающих оснований: в государственных, общественных или иных публичных интересах и в случаях, если такая информация ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.

Если государственный интерес обычно связывается с деятельностью государственных органов, то публичный и общественный интерес увязывается с личностью частного лица: является ли он публичной фигурой и представляет ли собой интерес к его личности общественно значимым или он способствует политической или общественной дискуссии. С защитой ПД эта статья перекликается в п. 4, предусматривающим право гражданина требовать в судебном порядке удаления информации о частной жизни, а также уничтожения или изъятия из оборота материальных носителей содержащих такую информацию.

Тем не менее, сложность защиты этого нематериального права заключается в том, что в каждом отдельном случае требуется установить факт нарушения частной жизни с учетом существующих правомерных исключений, из-за чего не всегда возможно однозначно предсказать исход судебного разбирательства.

В этом смысле, там где невозможно или крайне затруднительно реализовать свое право на защиту неприкосновенности частной жизни, можно прибегнуть к праву на защиту ПД, которое конкретизировано в специализированном законодательстве, а именно в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О защите персональных данных». В его ключевом термине «персональные данные» нет ограничения «частная жизнь», поэтому его регулирования и защита распространяются на любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Вдобавок, основания по которым ПД могут обрабатываться, не ограничиваются согласием на их обработку или их сообщением.

Если кратко, то этот закон закладывает основу защиты персональных данных, начиная с общих принципов и условия обработки персональных данных, прав субъекта персональных данных и, заканчивая полномочиями государственного надзорного органа и ответственностью за несоблюдения требований закона. При этом остальные законы РФ не могут противоречить его положениям. Требования этого закона распространяются как на случаи обработки персональных данных государственными и муниципальными органами, так и частными лицами и, независимо от средств обработки.

Законодательство РФ в сфере защиты персональных данных не ограничивается только одним ФЗ, хотя в большинстве случаев остальные ФЗ ограничиваются лишь общими, несущественными формулировками и отсылочными нормами (напр. ст. 15.10 Федерального закона от 29 декабря 2012 г. N 275-ФЗ «О государственном оборонном заказе» или в ст. 29 Федерального закона от 2 марта 2007 № 25-ФЗ «О муниципальной службе в Российской Федерации») либо лишь некоторыми незначительными уточнениями

В качестве наиболее актуальных для широкого круга лиц, можно упомянуть следующие нормативно-правовые источники. Во-первых, в Трудовом Кодексе РФ защите персональных данных в сфере трудовых отношений отведена отдельная глава. Несмотря на повторение в ней некоторых положений ФЗ «О персональных данных», можно отметить положения, ограничивающие возможности работодателя по получению и передаче персональных данных, а также положения переносящие финансовую нагрузку на выполнение требований законодательства по защите ПД на работодателя.

Во-вторых, недавно принятый, но еще полностью не вступивший в силу Федеральный закон от 8 июня 2020 г. N 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации», устанавливает порядок сбора и обработки и защиты любой информации (в том числе ПД) о гражданах и резидентах РФ государственными органами, Пенсионным фондом РФ, а также фондами медицинского и социального страхования. В частности, закон перечисляет меры, которые государственный оператор этого регистра должен предпринять для защиты сведений регистра, а также предусматривает право граждан на изменение сведений в регистре.

Актуальным для широкого круга лиц будет также и Федеральный закон от 28 марта 1998 г. N 53-ФЗ «О воинской обязанности и военной службе», который, устанавливая круг собираемых сведений органами воинского учета, явным образом налагает на них обязанность при обработке ПД соблюдать требования ФЗ «О персональных данных».

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», содержит конкретные требования к типовым формам, ведению реестров и книг (напр. часто используемые для пропуска на территорию), обращению с материальными носителями содержащими персональные данные.

Важным для выполнения требований требований ФЗ-152 является Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое предоставляет операторам ПД критерии необходимые для выполнения требований федерального законодательства по обеспечению защиты ПД.

Что же касается ведомственного регулирования, то приказы министерств и других ФОИВов касаются обработки персональных данных служащих, членов их семей, а также сотрудников подведомственных организаций, лиц претендующих на замещение вакантных должностей, в некоторых случаях лиц обратившихся в то или иное ведомство для получения государственной услуги. Ввиду того, что круг лиц в ведомственном нормативном регулировании всегда определен, то в каждом отдельно взятом случае он, как правило, различен.

Ответственность за нарушение законодательства в сфере защиты ПД, может быть как административная, гражданская, так и уголовная.

Диапазон административных штрафов предусмотренных ст. 13.11 КоАП РФ, с учетом поправок вступающих в силу с 27 марта 2021 г. составляет от 1500 руб. до 18 млн. руб., в зависимости от характера самого правонарушения, того, совершено ли оно впервые, а также от статуса правонарушителя (штрафы для юридических лиц — самые высокие).

Привлечение к гражданской ответственности возможно в порядке ранее упомянутой ст. 152.2 ГК РФ.

Говоря об уголовной ответственности, то это могут быть либо те составы где явным образом предусмотрена ответственность за незаконное использование ПД (ч. 2, ст. 173.1 УК РФ), либо же составы под действие которых могут подпадать, помимо прочего, нарушения прав граждан при обработке ПД (напр. cт.ст. 137, 138, 140, 155, 272 УК РФ).

Дополнительно к санкциям административного и уголовного характера, законодательством РФ предусмотрен также механизм ограничения доступа к информации в Интернете нарушающей законодательство в области ПД, в порядке предусмотренном ст. 15.5 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Так, частное лицо может обратиться в Роскомнадзор с заявлением о блокировке информации обрабатываемой с нарушением законодательства в области персональных данных, на основании вступившего в законную силу судебного акта.

Таким образом, защита ПД и права на неприкосновенность частной жизни взаимно дополняют друг друга. Ввиду того, что персональные данные могут обрабатываться по другим основаниям, кроме как по согласию субъекта персональных данных, а сами ПД определены в российском законодательстве довольно широко, в некоторых случаях защита ПД может служить альтернативным методом защиты права на неприкосновенность частной жизни. Соответственно, может сложиться и обратная ситуация, когда ПД обрабатываются в соответствии с законодательством в области защиты ПД, но такая обработка нарушает неприкосновенность частной жизни.

Защита персональных данных регулируется значительным количеством нормативно-правовых актов, здесь были упомянуты лишь самые основные. На практике руководствоваться лишь одним ФЗ-152 невозможно, так как он не содержит некоторых деталей связанных со сбором ПД в специфических областях деятельности, а конкретных организационно-технических мер по обеспечению безопасности ПД (по этим причинам в нем самом встречаются бланкетные нормы).

Публикация подготовлена при поддержке юристов Digital Rights Center.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector