Персональные данные: защита без нападений. часть 1

Общедоступные персональные данные.

ст.
8 ФЗ. В
общедоступные источники персональных
данных с письменного согласия субъекта
персональных данных могут включаться
его фамилия, имя, отчество, год и место
рождения, адрес, абонентский номер,
сведения о профессии и иные персональные
данные, сообщаемые субъектом персональных
данных.

Классификация
по видам и целям обработки персональных
данных:

1.
Биометрические
персональные данные

— физиологические
и биологические особенности человека,
на основании которых можно установить
его личность и которые используются
оператором для установления личности
субъекта персональных данных, могут
обрабатываться только при наличии
согласия в письменной форме субъекта
персональных данных (ст. 11 ФЗ);

2.
Трансграничная
передача персональных данных
(ст.
12 ФЗ) — передача
персональных данных на территорию
иностранного государства органу власти
иностранного государства, иностранному
физическому лицу или иностранному
юридическому лицу;

3.
Персональные
данные в государственных или муниципальных
информационных системах персональных
данных (ст. 13 ФЗ).
Информационная
система персональных данных

— совокупность содержащихся в базах
данных персональных данных и обеспечивающих
их обработку информационных технологий
и технических средств;

4.
Персональные
данные при продвижении товаров, работ,
услуг на рынке, а также в целях политической
агитации
(ст. 15 ФЗ);

5.
Персональные
данные, с исключительно автоматизированной
обработкой (ст. 16 ФЗ).

💡 Понятие экспериментальных правовых режимов

Для того чтобы проверять жизнеспособность тех или иных инновационных технологий, в том числе цифрового профиля, на государственном уровне принято решение позволить разным компаниям, которые и будут осуществлять такую проверку, осуществлять ее без соблюдения определенных норм действующего законодательства – если такие нормы законодательства будут причинять ущерб попыткам проведения таких проверок. Исключение составляет законодательство в сфере защиты прав потребителей – в этой сфере придется применять все действующие нормы.

Наибольшая вероятность установления таких экспериментальных правовых режимов характерна для следующих отраслей:

  • связанных с осуществлением дистанционной торговли, предметом которой являются товары, услуги или определенные виды работ;
  • деятельность которых связана с разработкой и последующим тестированием специальных систем эксплуатации транспортных средств, отличающихся высокой автоматизированностью функционирования;
  • функционирующих в сфере строительства и последующей эксплуатации возводимых зданий, а также различных инженерных и инженерно-коммуникационных сооружений.

Указанные сферы для установления экспериментальных правовых режимов характерны для компаний, которые начинают принимать участие в «регуляторных песочницах» с момента вступления в силу данного законопроекта в виде закона. Однако для организаций, которые тестируют и проверяют финансовые продукты, направленные на совершенствование всех действий в экономической и финансовой сферах деятельности, Центральным Банком Российской Федерации еще с 2018 года принято решение о необходимости использования специальных правовых режимов.

Экспериментальный правовой режим может быть установлен на региональном уровне для конкретного субъекта.

Пример. Из последних ярких примеров следует вспомнить тестирование, а потом и полноценное внедрение системы цифровых пропусков на территории Москвы с целью профилактики нарушений режима самоизоляции при борьбе с активным распространением коронавирусной инфекции. Такая система может быть применена на территории всего государства: в период нахождения Российской Федерации на пике распространения коронавирусной инфекции рассматривался вопрос о том, чтобы вводить пропускной режим на территории всего государства в случае ухудшения существующей ситуации с заболеваемостью.

Для того чтобы на уровне руководства региона или государства было принято решение об установлении экспериментального правового режима для той или иной организации, должны совпасть определенные условия, к которым относятся:

  • готовность созданных инноваций (цифрового профиля) к внедрению и использованию;
  • существующие нормативно-правовые акты мешают внедрению созданных цифровых инноваций;

а также если рассматриваемые инновации приведут хотя бы к одному из перечисленных ниже последствий:

  • в результате внедрения таких инноваций должен появиться новый вид экономической деятельности;
  • изменится – с качественной точки зрения – состав реализуемых товаров, услуг или работ, либо произойдет их расширение – с точки зрения ассортимента;
  • изменится в сторону увеличения прибыль компаний, работающих в той или иной отрасли бизнеса, либо сократятся их издержки;
  • произойдет повышение эффективности управления, осуществляемого на государственном или муниципальном уровнях (при этом речь идет и о предоставлении государственных услуг посредством различных электронных информационно-коммуникационных услуг и IT-решений).

В том случае, если указанные выше цели введения или использования экспериментального правового режима не будут достигнуты в те сроки, которые установлены законом для их действия (максимальный срок действия такого режима – три года), то компания исключается из перечня участвующих в таком режиме.

Быть ИП лучше, чем самозанятым. Выясняем почему
Читать

Хватит кошмарить бизнес. Как работает сервис защиты предпринимателей ЗаБизнес.рф
Подробнее

Перечень

Никакие нормативные акты РФ строго не регламентируют полный перечень персональных данных. Небольшая расшифровка приведена в п. 2.5 методических рекомендаций, утвержденных Приказом Роскомнадзора от №94 от 30.05.2017 г.

ФИО физического лица

Полное имя гражданина однозначно относится к персональным данным, поэтому не может разглашаться или распространяться без его письменного согласия. Исключением являются случаи, когда Ф.И.О. ранее стали общедоступными или раскрыты физическим лицом по его воле.

Важно. При использовании имени гражданина в форме, которая порочит его честь, достоинство или деловую репутацию, он вправе потребовать компенсацию морального вреда, публичного опровержения и возмещение ущерба (ч

5 ст. 19 ГК РФ).

Национальность

Национальность относится к специальной категории персональных данных, о которых мы поговорим далее (ч. 1 ст. 10 Закона). Их обработка допускается только с согласия владельца, а также в случаях, установленных ч. 2 ст. 10 Закона. Среди них:

  • сбор информации по переписи населения;
  • медицинское обслуживание;
  • противодействие террористической деятельности;
  • в страховых целях и др.

Фотография

Охрана изображения гражданина регламентирована ст. 152.1 ГК РФ. Обнародование и использование фотографии предполагает заключение сделки по взаимной договоренности с владельцем (ст. 153 ГК РФ).

Исключением являются случаи, когда:

  • фотография используется в государственных, общественных, экономических, спортивных, культурных или иных публичных интересах;
  • изображение создано на публичном мероприятии в местах общего доступа (съездах, конференциях, соревнованиях), если оно не является основным объектом использования;
  • фотография создана на возмездной основе (профессиональная фотосъемка) путем заключения устного или письменного договора с владельцем.

Если изображение распространяется в интернете, то гражданин вправе требовать его удаления и моральной компенсации. Физические и виртуальные носители, а также экземпляры фотографии подлежат изъятию по судебному решению, если их обработка производилась с нарушением законодательства. О защите персональных данных в интернете рассказано в этом материале.

Номер телефона

Важно. Контактный номер телефона, а также электронная почта могут косвенно идентифицировать физическое лицо

Это подтверждается решением Арбитражного суда города Москвы по делу № А40-14902/2016-84-126. В связи с этим они также являются персональными данными.

При этом установить абонента сети становится возможно только в совокупности с Ф.И.О., адресом или иными личными сведениями. Набор цифр охраняется в соответствии с законом «О связи» и не обрабатывается без согласия абонента.

Таким образом эти сведения считаются обезличенными, если не сопровождаются другой личной информацией. Но их обработка также возможна только по взаимной договоренности с владельцем. Если адрес электронной почты содержит Ф.И.О. физического лица, то его однозначно относят к персональным данным.

Согласно пояснениям Роскомнадзора, неперсонифицированная СМС-рассылка не является нарушением законодательства, так как только по номеру телефона невозможно идентифицировать гражданина.

Какая информация общедоступна, а какую нельзя разглашать?

  • К общедоступным данным относятся доходы государственных, муниципальных и политических деятелей.
  • К ним также относятся сведения, которые самолично распространяются владельцем в сети Интернет. При этом законодательство не рассматривает информацию в сети как собственность субъекта, так как она сложно поддается контролю с его стороны.Таким образом, IP-адрес, история браузера, формы авторизации, информация, накапливаемая приложениями и гаджетами, является общедоступной.
  • Данные, предоставляемые при трудоустройстве, заключении договора и переписи населения также не квалифицируются как персональные.
  • Информация, предоставленная и распространяемая в СМИ, понимается как утратившая такое понятие как конфиденциальность, что соответствует
  • При анкетировании и подписки на новостную рассылку не требуется письменное согласие на обработку данных — достаточно отметки или галочки в специальном поле.

Важно. Любые общие, специальные и биометрические персональные данные не могут быть разглашены оператором без согласия субъекта (ст

7 Закона).

Согласно разъяснениям Роскомнадзора в письме от 07.02.2014 № 08КМ-3681, сведения о доходах гражданина не разглашаются по требованию его законного супруга. Вся полезная информация о Роскомнадзоре приведена тут.

Нельзя передать информацию по запросу 3-х лиц, если они не относятся к органам ОВД, безопасности или прокуратуры. Это касается контактных, личных, паспортных данных, сведений о семейном положении, состоянии здоровья и иных, позволяющих идентифицировать гражданина.

Таким образом, существует 4 вида персональных данных:

  • общие;
  • биометрические;
  • специальные;
  • общедоступные.

При согласии субъекта, а также в случаях, установленных федеральным законом, они подлежат обработке и разглашению 3-им лицам. К персональным относятся любые сведения, которые косвенно или напрямую идентифицируют человека. По этой причине они охраняются законом.

Для решения вашего вопроса – обратитесь за помощью к юристу. Мы подберем для вас специалиста. Звоните 8 (800) 350-14-90

Плохо

Полезно!

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

  1. Не раздавать свою конфиденциальную информацию посторонним.
  2. При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
  3. Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  4. Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  5. Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  6. Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Права субъекта

В качестве субъекта выступает определенное конкретное лицо, которое идентифицируется по внесенным им данным.

Это фактическое лицо, нуждающееся в защите на основании текущего закона.

Перечень прав субъекта:

Субъект получает неограниченный доступ к внесенным в программы или документы данным.

Доступ заключается в том, что субъект имеет право на грамотное предоставление сведений о непосредственном операторе данных.

Человек может потребовать  от  оператора частичное или полностью заблокировать уточнение имеющихся в программе данных.

В программе может содержаться:

  1. цель проведения обработки;
  2. способы, при помощи которых проводится обработка;
  3. сроки проведения обработки;
  4. перечень лиц, которые допущены к проведению обработки;
  5. перечень источников непосредственного получения личных данных;
  6. сведения о последствиях проведения обработки информации.
  • Обработка в ситуации, напрямую касающейся продвижения различного товара, выполнения работ или агитации, должна проводиться с согласия самого субъекта.
  • Физические лица самостоятельно принимают объективное решение в ситуации, когда их данные будут обрабатываться автоматизированным способом.

То есть, при проведении обработки персональных данных, субъект в обязательном порядке должен дать свое письменное согласие по форме на проведение действий, касающихся сведений.

Случаи, при которых письменное согласие требуется, четко оговариваются в текущем законодательстве.

Субъект обжалует действие или же напротив бездействие своего фактического оператора, занимающегося обработкой предоставленных ему данных.

Это право действует, когда человек по существенным причинам полагает, что оператор проводит процедуру обработки внесенных данных неправильным образом.

Человек может обратиться в профильный орган, занимающийся защитой прав существующих субъектов.

Каждый субъект имеет существенное право на возмещение убытков и компенсации фактического морального вреда, путем непосредственного обращения в суд с письменным исковым заявлением.

Персональные данные

Персональные сведения — существенная информация, относящаяся к конкретному лицу.

Персональная информация:

  • ФИО конкретного лица.
  • Полные год, месяц, а также полная дата рождения.
  • Адрес подобного физического лица, а также положения в семье и в обществе.
  • Образование подобного лица, основная профессия и уровень доходов.
  • Другая информация, которая содержится в действующем на территории страны федеральном законодательстве.

К другой информации относятся нижеперечисленные данные:

  • Паспортные данные физического лица.
  • Разнообразные финансовые ведомости.
  • Медицинская карта человека.
  • Биометрия.
  • Иная информация, которая, так или иначе, носит какой-либо идентифицирующий характер.

Общедоступные источники предоставления информации:

  • Адресные книги.
  • Всевозможные списки.
  • Иное обеспечение.

В подобные источники включается информация о конкретном лице, но сведения о человеке вносятся только с письменного согласия самого лица.

Для внесения требуются данные:

  • ФИО человека.
  • Год и точное место рождения.
  • Полный адрес регистрации или же прописки.
  • Абонентский номер конкретного гражданина.
  • Иная информация, которую согласен предоставить человек.

Иные данные относятся к специализированной категории ограниченного доступа.

По этой причине сведения должны быть надежно защищены действующим на территории нашей страны законом.

При проведении формирования требований по безопасности систем, данные подразделяются сразу на четыре категории.

Виды и определения сведений: что к ним относится по закону?

Персональные данные делятся на 4 вида:

  • общие;
  • биометрические;
  • специальные;
  • общедоступные.

Принцип и условия их обработки установлены гл. 1-6 Закона.

Общие

Важно. К общим относятся основные сведения, которые напрямую идентифицируют физическое лицо

Они содержатся в паспорте, военном билете, трудовой книжке, дипломе, а также иных документах, удостоверяющих личность.

К ним относят:

  • полное имя физического лица;
  • адрес регистрации и фактического проживания;
  • паспортные реквизиты;
  • сведения об образовании;
  • индивидуальный номер налогоплательщика;
  • пол, возраст, дата и место рождения;
  • сведения о доходах физического лица;
  • семейное положение.

Персональные данные, составляющие семейную или личную тайну, охраняются законом. В случае нарушения неприкосновенности частной жизни наступает уголовная ответственность по ст. 137 УК РФ.

Биометрические

Согласно ст. 11 Закона, к биометрическим относятся такие данные, которые характеризуют физиологические или психологические особенности человека. Информация может располагаться в Единой биометрической системе и использоваться при трудоустройстве в государственные органы или в ходе медицинского обслуживания.

Биометрические персональные данные:

  • отпечатки пальцев;
  • рисунок радужной оболочки глаза;
  • контур, овал и координаты точек лица;
  • анатомические особенности;
  • рост, вес;
  • сведения, касающиеся ДНК;
  • психическое здоровье;
  • фото или видеоизображение гражданина;
  • звукозапись с голосом гражданина.

Важно! К персональным данным не относятся фото и видео гражданина, созданные в публичных, коммерческих и государственных интересах, а также в местах общего доступа.

К ним также не относятся почерк, фотография в личном деле, копия разворота паспорта (при использовании в некоммерческих целях), результаты анализов и исследований, если они не используются для идентификации личности.

Обработка биометрических данных возможна только с письменного согласия субъекта за исключением случаев:

  • противодействия преступной и антитеррористической деятельности;
  • идентификации работников (о том, что относится к персональным данным работника и каков порядок защиты, читайте тут);
  • судопроизводства;
  • обязательной дактилоскопической регистрации;
  • международного договора.

Какие биометрические характеристики собирает Сбербанк?

В целях улучшения качества дистанционного обслуживания Сбербанк может собирать биометрические данные клиентов. Сведения получают напрямую от клиентов банка, через работодателей и государственные органы, а также из общедоступных источников информации. Среди них:

  • фото- и видеоизображения лица;
  • аудиозаписи;
  • отпечатки пальцев.

Благодаря этому пользователи получают доступ к системе без подтверждающих документов и банковских карт. Услуга необязательна и требует письменного согласия владельца.

Специальные

К специальным категориям персональных данных относятся сведения, касающиеся:

  • расовой, национальной принадлежности;
  • религиозных, философских и политических убеждений;
  • интимной жизни;
  • состояния здоровья.

Их обработка не допускается без согласия гражданина за исключением случаев, когда данные:

  • стали общедоступными;
  • связаны с реализацией международных договоров;
  • необходимы для переписи населения;
  • необходимы для оказания социальной и медицинской помощи;
  • собираются в соответствии с пенсионным и трудовым законодательством.

Соответствующая информация содержится:

  • в амбулаторных картах;
  • личных делах;
  • локальных реестрах и информационных системах.

Необходима для трудоустройства в органы внутренних дел, осуществления прокурорского надзора, усыновления ребенка и т.д.

Общедоступные

Внимание. К общедоступным персональным данным относятся все перечисленные категории, которые обрабатываются и распространяются с согласия субъекта либо при его самоличном участии.. К общедоступным источникам относятся:

К общедоступным источникам относятся:

  • интернет-профили;
  • справочники;
  • адресные книги (ст. 8 Закона).

Если исходя из сведений невозможно напрямую идентифицировать личность гражданина (по номеру телефона ли, электронной почте, национальности) без сопровождения дополнительной информацией, они считаются обезличенными (ст. 3 Закона). Их определяют в качестве способа защиты информации, делающей ее недоступной для несанкционированного и противоправного использования.

Защита персональных данных

Ключевым моментом, связанным с вопросом персональных данных, является именно их защита — на это нацелены все усилия государства и построена вся логика работы с этими данными. Конкретные действия по защите определяет сам оператор (тот, кто обрабатывает ПДн) кроме единственного вопроса — назначения ответственного за организацию обработки ПДн, что он должен сделать сразу и безусловно.

Такие меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними. Если проверяющие посчитают, что такие меры были недостаточными, то последует штраф и предписание, за неисполнение которого также предусмотрен ещё один штраф. И так до того момента, пока вы не выполните всё ожидаемое от вас даже если вам это будет мешать вести бизнес.

Все мероприятия делятся на два вида:

  1. Юридические — по созданию комплекта документов.
  2. Технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. К примеру, установить антивирус, файерволл, пароль на ПК, иногда установить шифрование, обучить сотрудников.

В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе или закрывающемся шкафу или комнате, иметь замки в офисе, охранную систему).

Для защиты электронных данных вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять.

Специальные требования по защите ПДн предусмотрены для отдельных категорий операторов, к примеру, органов власти. Компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR), в том числе если они продают товары гражданам Евросоюза, должны учитывать также требования этого регламента.

Производить видеозапись или фотографирование клиентов, в т.ч. пациентов не запрещено, если целью является контроль за оказанием услуг или их улучшение (фото- и видеофиксация, создание обучающих видео), однако Роскомнадзор придерживается позиции, что в «целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер».

Совет: установите в Политике по обработке персональных данных (является обязательным документом для всех, кто вообще обрабатывает их) порядок и сроки хранения фото- и видеозаписей с изображением сотрудников и клиентов, приведите в соответствие с ними настройки вашей техники, ограничьте доступ к этим записям лиц, не имеющих служебной необходимости их просматривать.

Минимальный комплект документов для законной обработки персональных данных:

  1. Политика в отношении обработки персональных данных — документ в котором устанавливаются категории, цели, способы обработки ПДн, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. Документ должен быть размещён онлайн или на видном месте в помещении компании.
  2. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
  3. Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц, который выполняет требование разграничения доступа и позволяет установить, какой из сотрудников имел доступ в случае разглашения.
  4. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Читайте вторую часть: инструкция по защите ПДн на сайте.

Особенности работы инспектора ПДН

Живое общение, необходимость быть убедительным и найти “ключик” к каждому ребенку – таковы трудовые будни инспектора

Как и в любой работе, существуют свои особенности. Так, инспектора ПДН испытывают на себе большие перегрузки, как эмоционального, так и физического характера при относительно небольшом заработке. Много бумажной работы. Но тем, кто не любит сидеть на одном месте, такая работа должна понравиться. Она не требует монотонности. Наоборот: это живое общение с детьми, хотя и трудными. А также с их родителями. Но нельзя не согласиться с тем, что работа направлена на достижение общественно-полезной цели: воспитание трудных детей.

Какими могут быть посягательства

Выделяют три актуальных типа угроз безопасности персональной информации, имеющей отношение к какой-либо ИСПД:

  1. Наличие в программном обеспечении незадекларированных возможностей, позволяющих использовать и обрабатывать информацию за пределами конкретной системы. Как правило, этот тип посягательств непосредственно связан с теми лицами, которым была предоставлена информация.
  2. Присутствие в ИСПД какого-либо дополнительного элемента, компонента, который обеспечивает утечку данных, впоследствии обрабатываемых и используемых на стороне.
  3. Наличие злого умысла и участие пресловутого человеческого фактора. То есть входящие в него разновидности посягательств никоим образом не связаны с самой системой и применяемыми в ней технологиями.

Как правило, описания типов угроз ассоциируются исключительно с виртуальными сетями, компьютерами и иными технологиями. Однако это не совсем верное понимание. Системой, при помощи которой обрабатываются персональные данные, может являться и что-то, что не имеет к ним отношения. Например, домашний шкаф, в котором лежат документы членов семьи, это тоже хранилище информации, нуждающееся в обеспечении защиты. Вероятные угрозы в данном случае попадают под третий тип посягательств.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий