Персональные данные: что грозит за нарушение закона
Содержание:
- Классификация персональных данных
- Может ли оператор передать кому-нибудь персональные данные?
- Специальные категории
- Ответственность за нарушение законодательства в области ПДн
- Возможно ли сохранить свои персональные данные от утечки?
- Что такое обработка персональных данных?
- Насколько необходимо Положение о персональных данных
- На что еще важно обратить внимание до сбора персональных данных?
- Законодательное регулирование
- Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
- Понятие персональных данных и правовое регулирование
- Образец согласия на предоставление персональных данных
- Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
- Выполнение требования. Реалии
- Нормативная база
- Договоры поручения на обработку персональных данных
- Убедитесь, что на ваше имя не открыты неизвестные банковские счета
- Договоримся о терминах
- В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
Классификация персональных данных
Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:
- имя;
- фамилия и паспортные данные;
- место и дата рождения;
- адрес прописки либо проживания;
- семейное положение;
- информация о доходах и задолженностях;
- специальность, профессия,
- информация о занятости;
- доходы.
Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.
Общие ПД
К общим данным можно отнести те, которые находятся “на поверхности”. Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность. Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.
Биометрические ПД
Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.
Специальные ПД
Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.
Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.
Обезличенные ПД
Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
Специальные категории
Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:
- Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
- Обработка ПД, перечисленных в пункте 1, допускается.
Но при условии, если:
- на обработку ПД получено письменное разрешение от их владельца;
- они общедоступны;
- ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
- она необходима при осуществлении судебных мер;
- она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.
- Обработка ПД о судимости может осуществляться государственными или муниципальными органами в соответствии с ФЗ РФ.
- Обработка ПД, которая указана в пунктах 2 и 3, обязана сразу же быть приостановлена при прекращении действия причин, из-за которых она осуществлялась.
Ответственность за нарушение законодательства в области ПДн
Оператор обязан защищать личную информацию о гражданах от следующих угроз:
- неправомерного или случайного доступа;
- уничтожения;
- изменения;
- блокирования;
- копирования;
- распространения.
Любые неправомерные действия с данными могут повлечь за собой ответственность оператора, который отвечает за их сохранность по закону.
Персональные данные граждан РФ защищены действующим законодательством, которое предусматривает несколько видов ответственности за нарушение требований законов в области защиты персональной информации:
- гражданско-правовую;
- дисциплинарную;
- материальную;
- административную;
- уголовную.
Причем, некоторые санкции действуют в отношении физических, юридических и должностных лиц.
Гражданско-правовая ответственность за нарушения в области использования личных данных осуществляется в требовании выплаты денежной компенсации за моральный вред.
В случае незаконного распространения чужих персональных данных на рабочем месте на виновника могут возложить дисциплинарную ответственность в виде увольнения. Если нарушение было не слишком серьезным, работник может отделаться выговором или замечанием.
Материальная ответственность может затронуть работников, которых уличили в разглашении информации, связанной с персональными данными других лиц.
Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных предполагает предупреждение или штраф в размере от 1 000 до 3 000 рублей – для физических лиц; от 5 000 до 10 000 рублей – для должностных лиц, от 20 000 до 50 000 рублей – для юридических лиц.
А за распространение охраняемой законом информации на рабочем месте – штраф в размере от 500 до 1 000 рублей – для физических лиц, от 4 000 до 5 000 рублей – для должностных лиц.
Уголовная ответственность в области персональных данных полагается за нарушение неприкосновенности частной жизни. Меры ответственности по УК РФ следующие:
- штраф в 200 000 рублей или в размере зарплаты/иного дохода нарушителя за 18 месяцев;
- обязательные работы на срок от 120 до 180 часов;
- исполнительные работы на срок до 12 месяцев;
- арест на срок до 4-х месяцев.
Если лицо, нарушившее неприкосновенность частной жизни, использовало при этом служебное положение наказание будет строже:
- штраф от 100 000 до 300 000 рублей или в размере зарплаты/иного дохода правонарушителя за 1-2 года;
- лишение права занимать определенные должности на срок от 2 до 5 лет;
- арест на срок от 4 до 6 месяцев.
Возможно ли сохранить свои персональные данные от утечки?
Конечно, если следовать определенным правилам:
- Не раздавать свою конфиденциальную информацию посторонним.
- При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
- Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
- Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
- Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
- Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.
Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Примеры:
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Насколько необходимо Положение о персональных данных
Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.
Как составить приказ об утверждении положения о защите персональных данных работников?
Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.
Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:
- положение о защите персональных данных наемных сотрудников;
- обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
- согласие самого работника на обработку персональных данных.
ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись
Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.
Состав Положения о персональных данных
Разделы данного документа содержат следующие необходимые подпункты:
- общие сведения;
- перечисление данных, считающихся персональными в конкретной компании;
- регламент применения данной информации;
- особенности доступа к этим сведениям;
- меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
- приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Источник получения персональных данных
Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.
Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.
К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».
Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).
На что еще важно обратить внимание до сбора персональных данных?
- В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
- Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
- При сборе данных нужно использовать базу данных, размещенную на территории РФ.
Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.
Законодательное регулирование
Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.
К персональным данным (ПД) относят сведения, характеризующие прямо или косвенно субъекта – физическое лицо. По таким данным можно наиболее точно установить личность конкретного гражданина.
Конституция РФ (ст. 23–24) гарантирует физлицам право на соблюдение тайны их частной жизни, создает все необходимые предпосылки для неприкосновенности и необходимой защиты. Владельцу ПД принадлежит все, из чего состоит это понятие, в связи с этим такая информация не должна контролироваться третьими лицами или правительственными органами.
Физлица самостоятельно распоряжаются своими данными и вольны решать – воспрепятствовать их распространению или предоставить по требованию. Государство предоставляет определенные гарантии и защиту для получения этой возможности. В з-не № 152-ФЗ указаны условия, правила и круг лиц, которые могут использовать ПД кроме их владельца.
Носитель ПД может разрешить операторам получать и осуществлять обработку его личной информации. Это позволит на законных основаниях выполнять определенные действия с ней. Во время оформления заявлений на получение займа, при оформлении на работу, при проведении анкетирования физическое лицо самостоятельно предоставляет свое согласие, добровольно подписывая соглашение о разрешении проверять его личные данные.
Служебные лица могут воспользоваться доступом к определенному объему личной информации, необходимой для выполнения конкретных действий. У них нет права на хранение и применение ПД после достижения результата. В случае нарушения такого требования оператор отвечает за их намеренное разглашение.
В определенных случаях используется особое требование по работе с ПД, если они:
- необходимы для решения вопросов семейного или личного характера (в случае если распространение данных не приводит к ущемлению прав других лиц);
- находятся в архивной документации;
- принадлежат к данным, составляющим государственную тайну;
- должны быть предоставлены по судебному акту.
Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:
- компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
- объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
- форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки
С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения«. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.
Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется
Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.
Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.
По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:
Конклюдентное согласие | Согласие в письменной форме | Иные формы согласия | |
+ | Легко получить (за исключением случаев, когда нужно согласие в письменной форме) | При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства | Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) |
– | Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ |
Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе |
Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ |
Понятие персональных данных и правовое регулирование
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
- имя, отчество и фамилия гражданина;
- дата его рождения (число, месяц и год);
- место рождения;
- адрес регистрации или место фактического проживания;
- сведения о семейном положении и детях;
- социальное положение;
- данные об имуществе;
- размер и источники дохода;
- сведения об оконченных учебных заведениях;
- профессия и занимаемая должность.
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Иные персональные данные
Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:
- Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
- Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.
Образец согласия на предоставление персональных данных
Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.
Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:
- ФИО, местожительства, данные, изложенные в паспорте;
- ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
- наименование или ФИО оператора, который получает согласие;
- цели, из-за которых производится обработка ПД;
- перечень ПД, на доступ к которым вы даете согласие;
- наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
- период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
- подпись владельца ПД.
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
Выполнение требования. Реалии
Ладно, с нормативной базой разобрались, давайте посмотрим, что там на практике. А на практике получилось так:
операторы персональных данных проигнорировали это требование =>
так как нет спроса, разработчики средств защиты долгое время не представляли никаких решений =>
регулятор все понимает и закрывает на это все глаза при проверках =>
поскольку регулятор не «напрягает» операторы персональных данных игнорируют это требование – круг замкнулся.
Все же следует уточнить категоричный тон заголовка – хорошо, может на начало 2021 года и не все порталы с персональными данными не выполняют требование сертифицировано шифровать персональные данные, а процентов 99.
С 2017 года в одном из указанных выше звеньев произошел перелом – отечественные производители средств защиты информации начали выпускать сертифицированные TLS-решения, как раз для решения этой проблемы. Но и тут не обошлось без нюансов. Решения оказались совсем не дружелюбными при их внедрении и использовании. Особенно при использовании на клиентской части.
Самый жесткий вариант состоял в том, что за клиентское решение нужно было платить. Самый безобидный – необходимость использования специализированных браузеров, например, Chromium-gost. Масса таких эксплуатационных проблем возникала при использовании десктопов, а что уж говорить о мобильных устройствах.
Проверив множество государственных веб-порталов мы выяснили, что лишь небольшая часть реализует криптографию в специализированных браузерах по алгоритму ГОСТ. Вот так, например, в таком браузере выглядит сертификат портала torgi.gov.ru:
Правда, в Firefox уже вот такая картина:
Старый добрый RSA, точно не сертифицированный, ведь ФСБ сертифицирует только ГОСТ-криптографию. Да и в целом возникает вопрос, какой в смысл в том, что ГОСТ-шифрование работает, но из специальных браузеров, а из обычных потребительских сайт тоже работает, но на RSA. Получается, что требование как бы выполняется, но для мизерного числа пользователей.
Ну, хоть и на том спасибо, а вот Госуслуги решили не париться:
Нормативная база
Перечень законов о персональных данных:
- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
- Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
- Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
- Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
- ГОСТы по информационной безопасности и защите информации;
- ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
- ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
- ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
- ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
- ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
- ГОСТ 28147-89 Системы обработки информации.
Федеральный закон “О персональных данных” можно скачать здесь:
Договоры поручения на обработку персональных данных
Является ли провайдер облачных услуг оператором?
Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.
Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.
Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.
Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.
Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.
Убедитесь, что на ваше имя не открыты неизвестные банковские счета
Часто паспортные данные используют для открытия банковских счетов и банковских карт для осуществления незаконных операций. В результате чего, у владельца подобного счета могут возникнуть проблемы с правоохранительными органами и налоговой службой.
Узнать о том, какие банковские счета открыты на ваше имя, можно обратившись через сайт в Федеральную налоговую службу. Для этого необходимо зайти в Личный кабинет налогоплательщика и обратиться с запросом. Услуга оказывается бесплатно.
Если вы узнали о том, что ваши данные используют мошенники, немедленно обращайтесь в полицию, сохранив копию обращения с отметкой о получении у себя. Это поможет вам обезопасить себя от любых возможных проблем с нелегально открытыми счетами.
Договоримся о терминах
Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.
Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.
Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.
В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:
- Если обработка сведений предусмотрена законодательством Российской Федерации без разрешения владельца.
- Если личная информация используется в судопроизводстве.
- Если ПДн использует исполнительная ветвь власти РФ.
- Обработка на портале Госуслуги.
- При заключении договора о приобретении товара или услуги.
- Использование частных сведений необходима в жизненно опасных ситуациях, когда владелец не способен дать разрешение.
- В художественном произведении при условии ненарушения прав субъекта.
- В журналистских расследованиях и научных работах.
- Если личные сведения раскрыты в соответствии с Федеральным Законом.