Персональные данные и всё, что о них нужно знать

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные и всё, что о них нужно знать». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Персональные данные подпадают под действие многих государственных нормативов, основной из которых – Конституция РФ. Основополагающим законом в этой сфере считается ФЗ № 152, действующий с 27.01.06 г. В этом документе разъясняется термин «персональные данные», а также из чего состоит это понятие. Выполнение требований этого норматива – прямая обязанность юридических и частных лиц.

# Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности. Основные виды лицензий, выдаваемых регулирующими органами Лицензия ФСБ (государственная тайна) Если организация проводит работы с использованием сведений, представляющихгосударственную тайну , необходимо получить лицензию ФСБ. Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности. Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:

• осуществлять работы с использованием сведений, составляющих государственную тайну;
• осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
• осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.

Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии. Список 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

• Разработка шифровальных (криптографических) средств.
• Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Разработка средств изготовления ключевых документов.
• Модернизация шифровальных (криптографических) средств.
• Модернизация средств изготовления ключевых документов.
• Производство (тиражирование) шифровальных (криптографических) средств.
• Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Производство средств изготовления ключевых документов.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Производство (тиражирование) шифровальных (криптографических) средств.
• Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Производство средств изготовления ключевых документов.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
• Работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией на эти средства.
• Ремонт шифровальных (криптографических) средств.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Передача шифровальных (криптографических) средств.
• Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Передача средств изготовления ключевых документов.

Лицензия ТЗКИ, выдаваемая ФСТЭК

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации, является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ. Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504: ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность? Ответственность, за нарушение требований по защите ПДн Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

• гражданскую ответственность;
• уголовную ответственность;
• административную ответственность;
• дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

• гражданские иски со стороны клиентов или работников;
• приостановление или прекращение обработки ПДн в организации;
• привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
• приостановление действия или аннулирование лицензий на основной вид деятельности организации;
• репутационные риски;
• риски недобросовестной конкуренции.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

• получение;
• структуризация;
• хранение на носителях — в электронных и бумажных архивах;
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание — устранение очевидной связи между человеком и его ПД;
• блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

• Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
• Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
• Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность — вплоть до уголовного преследования.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Информация как объект правовой защиты. Классификация информации по категориям доступа. Характеристика отдельных видов конфиденциальной информации

Тема XII. Правовые основы защиты государственной тайны. Нормативные правовые акты в области защиты информации

Информация как объект правовой защиты. Классификация информации по категориям доступа. Характеристика отдельных видов конфиденциальной информации

Согласно ст. 2 Федерального закона «Об информации, информатизации и защите информации» от 20 февраля 1995 года №24-ФЗ, информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

В указанном законе определены также понятия, как информатизация (процесс создания оптимальных условий для удовлетворения информационных потребностей), документированная информация (зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать), информационные процессы (сбор, хранение, обработка и накопление информации) и другие термины.

Ст. 128 ГК РФ относит информацию к объектам гражданских прав. Однако, защищена может быть только та информация, из использования которой ее обладатель может извлечь имущественную выгоду. Информация является особым благом, имеет определенную социальную и коммерческую ценность для ее обладателей.

Информация является нематериальным (неимущественным) благом, она не тождественная материальному носителю, на котором она зафиксирована.

Одной из форм проявления информации являются объекты интеллектуальной собственности (авторское, музыкальное право и др.). Ст. 10 ФЗ «Об информации, информатизации и защите информации» разграничивает документированную информацию по категориям доступа, выделяя при этом общедоступную информацию и информацию с ограниченным доступом.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

• Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
• Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
• Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
• Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
• Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Что такое персональные данные

Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных», это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Эксперт, бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий :

— Существующее понятие, содержащееся в законе «О персональных данных», является калькой с определения, взятого из Европейской конвенции по защите персональных данных, ратифицированной Россией в 2005 году. Более точно определить состав персональных данных и привести их перечень сегодня невозможно. Ни один из федеральных органов исполнительной власти сегодня не обладает полномочиями по уточнению этого термина. Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет тот перечень данных, которые она собирает у своих работников и клиентов, действующих и бывших, и которые и будут считаться персональными в данной организации.

Правило 5. Грамотно оформлять документы по работе с ПД

В ряде случаев, например при размещении ПД работника на сайте организации, для обработки разных категорий ПД требуется письменное согласие работника, которое должно включать в себя:

• Ф.И.О. работника, адрес, сведения о документе, удостоверяющем его личность;
• наименование (Ф.И.О.) и адрес работодателя, получающего согласие работника на обработку ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых дается согласие работника;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых работодателем способов обработки ПД;
• срок, в течение которого действует согласие, а также порядок его отзыва;
• подпись работника.

В организации должно быть утверждено Положение о защите ПД работников.

Оно регламентирует порядок получения, хранения, использования и защиты ПД, закрепляет права и обязанности работодателя и работников, а также определяет ответственность сторон трудового договора.

В УК РФ есть сразу несколько норм относительно ответственности за несоблюдение служебной тайны:

1. Раскрытие информации об усыновлении (ст. 155 УК России). Предусматривается штраф до восьмидесяти тысяч рублей либо лишение свободы до четырех месяцев.
2. Разглашение данных о мероприятиях, предпринимаемых относительно судей или же участника уголовного дела (ст. 311 УК РФ). Могут применяться штрафные санкции до двухсот тысяч рублей или же лишение свободы до пяти лет.
3. Раскрытие информации о мерах безопасности в отношении сотрудников правоохранительных органов (ст. 320 УК России). Санкции такие же, что и в статье 311.

Важным моментом является то, что должность госслужащего или же сотрудника структур правоохранительных органов предполагает невозможность ее занимания человеком, который имеет судимость. А это означает, что лицо, нарушившее служебную тайну, автоматически увольняется по отрицательным основаниям.

Законно ли собирать данные людей? Что говорит об этом закон

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» не регламентирует объём той информации, которую можно считать персональными данными. В связи с чем на практике при сборе определённой информации, представители тех структур, в которые обратился потребитель, сами того нехотя, переходят ту невидимую грань, когда определённые запрашиваемые ими сведения являются персональными данными, которые нуждаются в особой правовой защите.

Часто от потребителя требуют сообщить достаточно исчерпывающую информацию, непосредственным образом относящуюся к его личности. Примером может стать примитивная анкета для получения бонусной или дисконтной карты, которую выдают сейчас практически все сферы услуг, будь то это простой продуктовый магазин, магазин детских товаров, зоомагазин, салон красоты, SPA-центр, медицинская клиника или дилерский центр по обслуживанию автовладельцев. Как правило, в таких анкетах стандартный набор вопросов, характер которых разнообразный — семейное положение, состояние здоровья, место жительства, данные, касающиеся имени и фамилии, количества детей в семье и их данные и т.д.

Вместе с тем зачастую запрашиваемая информация никаким образом не относится к непосредственной деятельности представителя той или иной услуги для потребителя. Тем самым представитель конкретной услуги переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну потребителя.

Проблема, касающаяся непосредственно объёма той информации, которую можно считать персональными данными, значима еще и потому, что в разных видах деятельности под персональными данными понимаются очень часто не совпадающие наборы данных. А разрозненность законодательной базы в данной области – также создаёт дополнительные трудности, при определении той информации, которая даёт возможность идентифицировать лицо. Так, например, в Федеральном законе от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к персональным данным отнесены сведения, касающиеся инициалов лица-потребителя той или иной медицинской услуги, его пола, даты и места рождения, гражданства, сведения о документе, удостоверяющем личность, данные о страховом номере индивидуального лицевого счета в системе обязательного пенсионного страхования, сведения, касающиеся анамнеза, диагноза и т.п.

Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ «Об актах гражданского состояния» считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. Максимально подробно регламентированы правоотношения относительно персональных данных работника в Трудовом кодексе РФ (глава 14). Вместе с тем объем персональных данных определяется здесь достаточно широко: это информация, которая требуется работодателю в связи с трудовыми отношениями и касающаяся конкретно-определённого работника. Однако трудовое законодательство содержит прямое указание на то, что требовать от лица, поступающего на работу, документы или данные помимо регламентированных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ – запрещено.

Что относится к сведениям, которые не могут составлять коммерческую тайну предприятия

Такие сведения оговорены в ст. 5 закона № 98-ФЗ и включают в себя информацию:

• указанную в учредительных документах и документах о регистрации юрлица или ИП в госорганах;
• указанную в разрешениях на коммерческую деятельность;
• об использовании бюджетных средств и об имуществе госучреждений и государственных (муниципальных) унитарных предприятий;
• влияющую на безопасность отдельных граждан или всего населения (о влиянии на окружающую среду, о соблюдении противопожарной, санитарной техники безопасности, безвредность пищевых продуктов и т. д.);
• относящуюся к кадровой (количество работников, их состав, система оплаты труда, условия и охрана труда, травматизм и проф. заболевания, имеющиеся вакансии, задолженность по зарплате и соцвыплатам);
• о противозаконных действиях и понесенных за это наказаниях;
• об условиях приватизации госсобственности;
• для некоммерческих организаций: о доходах, расходах, имуществе, о количестве сотрудников и их зарплате, об использовании бесплатного труда;
• о списке лиц, которые выступают от имени организации без доверенности;
• прочая информация, необходимость раскрытия которой указана в других законах.

Похожие записи:

• Изменения в ОСАГО в 2023 году: краткий обзор
• Пособие на погребение в 2023 году
• Как зарегистрировать онлайн-кассу (ККТ) в налоговой: пошаговая инструкция