Сбор персональных данных – теперь это мрак. Коснется всех!

Рубрика: Военное право

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных – теперь это мрак. Коснется всех!». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. # Какие предприятия должны защищать персональные данные?
2. Лицензия ТЗКИ, выдаваемая ФСТЭК
3. # Какова ответственность в случае нарушения требований по защите ПДн?
4. Как получить согласие на обработку персональных данных
5. Требования к процедуре
6. Средства защиты и охраны персональных данных
7. Защита служебной тайны
8. Как оператор обязан защищать персональные данные
9. Меры, которые должен принять оператор при обработке сведений
10. Запрет на обработку информации
11. Что такое персональные данные
12. Информационные следы и персональные данные
13. Способы и условия обработки данных
14. В каких случаях необходимо проходить аттестацию и сертификацию?

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

# Какие предприятия должны защищать персональные данные?

Определение Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн. Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

Лицензия ТЗКИ, выдаваемая ФСТЭК

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации, является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ. Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504: ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность? Ответственность, за нарушение требований по защите ПДн Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

  • гражданскую ответственность;
  • уголовную ответственность;
  • административную ответственность;
  • дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

  • получение;
  • структуризация;
  • хранение на носителях — в электронных и бумажных архивах;
  • анализ;
  • использование в коммерческой, социальной, государственной деятельности;
  • передача другим владельцам или предоставление доступа к базе;
  • обезличивание — устранение очевидной связи между человеком и его ПД;
  • блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
  • удаление и обновление;
  • ликвидация без возможности восстановления.

Требования к процедуре

Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:

  • обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
  • персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
  • работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
  • хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
  • меры по защите персональных данных работодатель вырабатывает совместно с работниками
Читайте также:  Имущественные налоги в 2023 году: как взаимодействовать с налоговиками

Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.

По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

  • установлением рисков при обработке ПД в ИС;
  • постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
  • процедура совершенствования средств и результативности защиты;
  • постоянное рассмотрение машинных носителей ПД;
  • мгновенное установление неразрешенного проникновения;
  • восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
  • фиксация и учет всех действий, которые совершаются в ИС;
  • используется сотрудничество с вневедомственной охраной;
  • база данных защищена паролями, известными только людьми, у которых есть право доступа;

Защита служебной тайны

Очевидно, что служебная тайна нуждается в защите. Сформирован целый ряд механизмов, охраняющих служебную тайну от незаконного завладения ею третьими лицами, внесения в нее изменений, уничтожения.

Соглашение о неразглашении, отражение в трудовом договоре четко прописанных дополнительных условий и мер по сохранению служебной тайны, разработка отдельного ЛНА, касающегося служебной тайны – это правовые инструменты защиты конфиденциальной служебной информации. Кроме них могут предусматриваться еще технические средства защиты, в том числе и кодирование сведений.

Важную роль играет организация процесса сохранности служебной информации в коллективе: учет работников с особым доступом к таким сведениям, их обучение, особый порядок работы с деловыми бумагами и иными носителями информации, составляющими служебную тайну. Работник, допустивший утечку тайных служебных сведений, может быть уволен по ст. 81 ТК РФ п.6 (в).

КоАП РФ статьей 13.14 предусматривает штрафы за разглашение сведений с ограниченным доступом. В частности, если «утечка» произошла по вине должностного лица, штраф может составить от 4 до 5 тыс. рублей.

За разглашение служебной тайны может наступить и уголовная ответственность. Так, статьей 155 УК РФ предусмотрен штраф до 80 тыс. руб., арест до 4 месяцев за разглашение тайны усыновления, удочерения. При этом недобросовестный чиновник может быть лишен права занимать определенные должности на срок до 3 лет.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Персональные данные имеет множество видов тайн, за разглашение которых человек несет полную ответственность. Среди всех видов, выделяют следующие тайны: • Усыновление. Если судья выносит решение об усыновлении ребенка, он берет на себя ответственность за разглашение этой тайны. Такую тайну также должны хранить лица, проводившие государственную регистрацию усыновления и имеющие какие-либо сведения об этом. Детально о тайне усыновления можно узнать в статье 139 Семейного кодекса РФ. • Врачебная тайна. К ней относится любая информация, связанная со здоровьем человека: обращение за медицинской помощью, поставленный диагноз, обследование, лечение. По статье 61 законодательства Российской Федерации эту информацию нельзя разглашать другим людям без согласия этого самого человека. • Налог. К этой тайне чаще всего имеют отношение налоговые или таможенные организации, следователи и внутренние органы. Они не имеют права разглашать любые сведения о налогоплательщике. Налоговую тайну регулирует статья 102 Налогового Кодекса Российской Федерации. • Адвокатская тайна. С этой тайной мы сталкиваемся довольно часто, но не всегда понимаем, что к ней относится. Адвокатская тайна – любая информация между адвокатом и его доверителем. Это одна из обязанностей адвоката и один из принципов адвокатской деятельности (статья 3 Федерального Законодательства). • Тайна исповеди. Священнослужитель не может понести ответственность, если откажется рассказывать какую-либо информацию, касающуюся обстоятельств, которую он узнал от прихожанина на исповеди. Регулирует данную тайну пункт 7 статьи 3 Федерального Законодательства №125. Есть две тайны, которые не регулируются отдельными законами: личная (любая информация о человеке, которую тот хочет скрыть от посторонних) и семейная (информация о членах семьи, которую человек желает скрыть от других людей).

Читайте также:  На что могут рассчитывать собственники жилья при сносе их домов

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Что такое персональные данные

Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных», это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий :

— Существующее понятие, содержащееся в законе «О персональных данных», является калькой с определения, взятого из Европейской конвенции по защите персональных данных, ратифицированной Россией в 2005 году. Более точно определить состав персональных данных и привести их перечень сегодня невозможно. Ни один из федеральных органов исполнительной власти сегодня не обладает полномочиями по уточнению этого термина. Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет тот перечень данных, которые она собирает у своих работников и клиентов, действующих и бывших, и которые и будут считаться персональными в данной организации.

Информационные следы и персональные данные

Информация, которая связана с конкретным человеком, касающаяся, например, конкретных данных из его биографии, его национальность, место жительства, данные о различного рода болезнях, о профессиональных знаниях и способностях, о семейной жизни, привычках, хобби, нравственные, политические, сексуальные и религиозные пристрастия и многое другое — составляет значительную, а скорее всего даже большую часть циркулирующей в обществе информации.

Читайте также:  Что грозит за представление поддельного больничного?

Возможно, не все хотели бы делиться подобной информацией, однако в процессе своей жизнедеятельности человек так или иначе оставляет соответствующие «информационные следы» в отделах кадров, в социальных службах, органах исполнительной власти, в сфере услуг, различного рода организациях.

А как же иначе, если всегда и во все времена представители различных организаций, оказывающие те или иные услуги, в том числе и работодатели при приёме на работу, медицинские, финансовые организации и т.д. — собирают данные о личности потребителей своих услуг, о своих работниках. И, как правило, такие данные собираются максимально подробно. Оправданием для них выступает тот факт, что они хотят наиболее полно иметь представление о личности своих заказчиков/потребителей/клиентов.

Еще одним отличием персональных данных от иной информации является то, что появляется возможность их перехода в разряд общедоступных. Обратившись к ст. 8 ФЗ «О персональных данных» мы можем понять, что относится к общедоступным персональным данным. Речь в частности идёт о тех данных, «доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности». Примером таких данных могут служить справочники, частные объявления и т.п. Аналогичные положения содержаться в Указе Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера», в котором говориться о том, что не являются конфиденциальными сведения, которые распространяются в средствах массовой информации.

Но здесь следует обратить внимание на весьма интересную позицию, которая сложилась в судебной практике относительно данных пользователей социальных сетей, таких как, например, «ВКонтакте», «Одноклассники», Instragram, Twitter. Пользователи данных интернет-сетей при регистрации оставляют немало своих личных данных, непосредственным образом относящихся к данным персонального характера. Примечательно и то, что при регистрации у таких пользователей не получается согласие на дальнейшую обработку соответствующих данных. И несмотря на то, что такие данные пользователей зачастую не скрыты и находятся в открытом доступе для других пользователей конкретно-определённой социальной сети, суды полагают, что не являются общедоступными обрабатываемые организациями персональные данные, которые находятся в открытых источниках, а именно социальных сетях. Данное обстоятельство предопределяет вывод, согласно которому важно получить согласие граждан на использование таких данных.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *