Защита персональных данных
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.
Можно получить сразу два штрафа:
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.
Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.
По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами:
- Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
- Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если не спрашивать разрешения
За это нарушение положен большой штраф:
- 3 000–5 000 рублей для физлиц.
- 10 000–20 000 рублей для должностных лиц и ИП.
- 15 000–75 000 рублей для юрлиц.
Практика. Создание системы защиты персональных данных
Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.
Кто обеспечивает защиту данных?
Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № 152-ФЗ от 27.07.
2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.
Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.
При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор.
В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф.
С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.
Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.
Что защищать и от чего?
Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:
- паспортные данные;
- точное место жительства;
- мобильный телефон;
- адрес электронной почты.
Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.
Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:
- если им получено согласие на обработку (необязательно письменное);
- планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
- обрабатываются персональные данные своих сотрудников;
- в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.
Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.
Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.
Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.
Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:
- Политика в отношении персональных данных задокументирована и находится в публичном доступе.
- Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
- Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
- Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.
Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.
Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.
Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.
Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:
- программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
- некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
- усложнены условия эксплуатации и хранения информации.
Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):
- Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.
Типичные проблемы:
- неисправность технических средств,
- слабые антивирусы, отсутствие шлюзов безопасности,
- невозможность зрительного контроля за серверами и доступом к ним.
Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.
- Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
- Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.
Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):
- Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
- Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.
- Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.
Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.
Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.
Преднамеренность вмешательства:
- угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
- угроза, инициируемая субъектами извне с целью получения личной выгоды.
Характеристики появления:
- искусственная угроза, созданная при участии человека;
- природная, неподконтрольная человеку (чаще всего — стихийные бедствия).
Непосредственная причина угрозы:
- человек, разглашающий строго конфиденциальные сведения;
- природный фактор (вне зависимости от масштаба);
- специализированное вредоносное программное обеспечение, нарушающее работу системы;
- удаление данных случайным путем из-за отказа техники.
Момент воздействия угрозы на информационные ресурсы:
- в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
- при получении системой новой информации;
- независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).
Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.
Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.
Построение системы защиты персональных данных
Классификация уровней защиты
Информационная безопасность подразумевает четыре уровня защиты от угроз:
- Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
- Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
- Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
- Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.
Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.
Обеспечение защиты
Защита информации по уровням в каждом случае состоит из цепочки мер.
- Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.
- Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
- Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
- Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.
Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.
Средства защиты информации
Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.
Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты.
Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации).
Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.
Криптографические средства защиты информации
Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.
К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.
Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.
Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.
Рекомендации по защите персональных данных
Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.
Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.
Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.
Протестировать Traffic Inspector Next Generation в своей сети.
Бесплатно в течение 30 дней.
Защита персональных данных. Как защитить свои персональные данные? Ответы на вопросы. Расследование
Аргументы НеделиАргументы Недели
Это происходит из-за утечки наших данных на «сторону» в грязные руки мошенников, которые наживаются за наш счет. Меня настораживает и волнует то, что сегодня в сети интернет можно легко найти предложения, позволяющие за небольшую сумму в рублях получить копию чужого паспорта или другого документа. Давайте разберемся, что делать, что бы обезопасить себя от мошенников, помня известную латинскую пословицу — Предупреждён, значит вооружен «Praemonitus, praemunitus»!
Мой первый совет человеку который делает ксерокопию документов, главное быть максимально бдительным и проявлять повышенную внимательность, и главное самому следить за всем процессом копирования! Если сотрудник фирмы говорит, я сделаю копию в другой комнате, то вам надо идти с ним, и следить что бы он не похитил ваши персональные данные.
Важно помнить, что источниками утечки вашей персональной информации могут стать даже самые проверенные фирмы и организации. Некоторые сотрудники фирм и государственных учреждений могут войти в сговор со сторонними, третьими лицами, выполняющими копирование документа, и похитить данные человека.
Кто именно, какие сотрудники и из каких учреждений чаще воруют персональные данные?
Мошенники могут совершать противозаконные действия, зная только номер вашего паспорта, ведь в некоторых случаях остальные данные гражданина не требуются. Кто ворует чаще всего персональные данные и зачем. Вот так называемый список риска утечки ваших персональных данных:
Сотрудники банка. когда человек открывал счет, он заполняет анкету (или же сотрудник банка сам заполнял ее за вас). Вы могли когда то давно, открывать депозит или брали кредит в каком то банке и уже забыли о нем, но данные все равно остались в базе банка.
Сотовый оператор, сотрудники компании сотового оператора, интернет — провайдера.
Сотрудники страховой компании, ведь по закону нельзя оформить полис без предъявления вашего паспорта.
Сотрудники частной медицинской клиники пи оформление договора.
Сотрудники почты. При получении посылки или заказного письма нужно было заполнять бланк получения.
Персонал гостиницы отдела размещения в отелях и хостелах. Заселяясь в отель, вы всегда предъявляете свои документы для оформления.
Работники отдела кадров вашей организации или компании. Довольно часто ваши паспортные данные попадают в руки мошенников во время увольнения, обиженный сотрудник, имеющий доступ к такой информации, может легко передать её (или продать) другому лицу.
Все это приводит к тому, что мошенники могут похищать персональные данные практически любого гражданина страны.
Где чаще всего мошенники применяют краденные персональные данные?
Как правило мошенники используют похищенные данные человека для того что бы делать следующие противоправные действия:
Оформлять микрозаймы и микрокредиты;
Совершать всевозможные операции с кредитными или телефонными картами;
Воспользоваться дубликатом похищенных документов для совершения различных сделок;
Забрать квартиру, продать или купить квартиру;
Оформить компанию или ИП. Важно помнить, что сканированные копии документов мошенники используют для оформления подставных фирм или переоформления фирм.
По закону для осуществления таких процедур, необходимо присутствие лично владельца с оригиналом документа паспорта.
Что бы обойти это, мошенники используют своего доверенного сотрудника банка или оператора сотовой связи, юриста или нотариуса.;
Взять кредит в одном из банков;
Участвовать в спортивных тотализаторах или онлайн — играх;
По подложным паспортным данным в РЭУ могут вписывать мертвых душ и получать за них зарплату;
Устроиться на работу по чужим документам , например в такси;
Выполнить свои махинации через сеть интернет и др.
Важно помнить, что мошенники хорошие психологи и их преступления рассчитаны на невнимательность человека, на его доверчивость и рассеянность при работе с документами, а также на халатность сотрудников учреждений при обращении с документами.
По статистике, самым частым способом противоправного использования персональных данных гражданина, а это как правило паспортные данные, является оформление банковских кредитов.
Есть ли закон о защите персональных данных?
Федеральный закон «О персональных данных» No152-ФЗ от 27.07.2006
Надо ли согласие человека на обработку его персональных данных?
Да, надо согласие человека на обработку его персональных данных!
Обработка и защита персональных данных в организациях
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (Закон о ПДн) защищает личную информацию от неправомерного разглашения.
Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.
Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.
- Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).
- Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.
- На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.
- За работой операторов надзирает несколько ведомств:
- Роскомнадзор.
- Федеральная служба по техническому и экспортному контролю (ФСТЭК).
- ФСБ России.
- Прокуратура Российской Федерации.
Категории персональных данных
Персональные данные делятся на категории:
- общая;
- специальная;
- биометрические данные;
- обезличенные.
Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.
Этот перечень открытый.
Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.
Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.
Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:
- отпечатки пальцев;
- ДНК;
- сканирование сетчатки;
- распознавание радужки.
Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).
Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.
Как обрабатывать ПДн
Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.
Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.
Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.
- Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
- сотрудников фирмы;
- при заключении договоров;
- в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
- Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
- Определить цели работы с личными данными и работать с ними строго с заявленными целями.
- Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
- Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.
Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.
Чаще всего это:
- регламент обработки данных;
- правила компании по подбору персонала;
- введение пропускного режима;
- перечень мест хранения данных;
- регламент уточнения, уничтожения ПДн.
- Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
- Утвердить перечень сотрудников, которые допущены к работе с информацией.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
- Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
- Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
- Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
Чем грозит невыполнение требований по обработке персональных данных
За нарушение законодательства предусмотрен полный спектр юридической ответственности:
- дисциплинарная — за неправомерную обработку данных работником компании;
- гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
- административная — когда это предусмотрено Кодексом об административных правонарушениях;
- уголовная — за причинение вреда наиболее охраняемым общественным интересам.
Наиболее частое наказание — назначение административного штрафа.
Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.
За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.
Минимальный | Предупреждение или Штраф 1 – 3 тыс. р. | Штраф 5 – 10 тыс. р. | Штраф 30 – 50 тыс. р. |
Максимальный | Штраф 30 – 50 тыс.р. | Штраф 100 – 200 тыс. р. | Штраф 1 – 6 млн р. |
За повторное нарушение | Штраф 50 – 100 тыс. р. | Штраф 500 – 800 тыс. р. | Штраф 6 – 18 млн р. |
Основные нормативные документы, касающиеся обработки персональных данных
Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.
Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:
- Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.
Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.
- Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.
Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.
- Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.
- Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». ФЗ № 149-ФЗ определяет право на доступ к информации, условия ограничения доступа, требования к защите информации, ответственность за разглашение информации ограниченного доступа.
- ТК РФ, Глава 14 — применительно к защите персональных сведений работников организации.
- Указе Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера».
Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.
- Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.
Как защитить персональные данные своего ребенка и почему это важно
О персональных данных ребенка, их защите и работе с ними — в материале “Ъ”.
Что такое персональные данные
Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных» это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование.
Возрастающая роль информационной сферы и внедрение автоматизированных технологий по обработке и передаче данных во все социальные сферы повышают уязвимость частной жизни ребенка и создают угрозы незаконного оборота персональных данных несовершеннолетних.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«Формула «информация = деньги» была актуальна всегда, а в условиях сегодняшней нашей жизни особенно. Персональные данные человека относятся к такому виду информации, который всегда имеет цену и совершенно понятную капитализацию… Персональные данные детей здесь не исключение.
Пол, возраст, имя, место жительства и обучения — вся эта информация является бесценной для тех структур, которые занимаются маркетинговыми исследованиями, изучают спрос, продвигают определенные группы товаров и услуг, ищут потребителей и формируют спрос.
И это, пожалуй, наиболее безобидная группа интересантов.
Кроме них есть отдельные лица и структуры, которые накапливают персональные данные, преследуя противоправные и корыстные цели. Это может быть совершение мошеннических действий, вербовка в религиозные и экстремистские организации, а также различные структуры, ставящие своей целью нанесение вреда жизни и здоровью наших детей (группы смерти, геймеры, стримеры и др.)».
О работе с персональными данными ребенка
Ст. 9 закона «О персональных данных» предполагает согласие гражданина на обработку его персональных данных. Дети — несовершеннолетние граждане, поэтому согласно ч. 1 ст.
64 Семейного кодекса их права защищают родители и законные представители. Давая согласие, родитель подтверждает, что такая обработка является законной и не нарушает права ребенка.
Также в любой момент можно отозвать ранее данное согласие на обработку, после отзыва согласия данные должны быть удалены.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«Как правило, персональные данные наших детей запрашивают образовательные учреждения и организации здравоохранения. Как законные представители детей родители должны давать согласие на обработку этих данных.
В связи с этим родитель имеет полное право запросить информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. И если будут, то с какой целью.
Кроме того, не стоит буднично и поверхностно относиться к процессу передачи персональных данных своего ребенка».
- При даче согласия на обработку персональных данных ребенка эксперт советует обратить внимание на следующие детали:
- — перечень персональных данных и сроки их хранения;
- — цель и способы обработки персональных данных ребенка;
- — способ уведомления родителя о факте обработки персональных данных;
- — источник получения персональных данных ребенка;
- — сведения о должностных лицах, которые получат право, а следовательно, доступ к персональным данным;
- — сроки обработки персональных данных;
- — способы защиты персональных данных.
- Свое согласие на работу с личной информацией несовершеннолетнего ребенка родители должны выразить в письменном виде с обязательной собственноручной подписью.
- Изображение ребенка в интернете
Изображение человека также относится к его персональным данным, поэтому использование фотографий всех граждан (в том числе детей) регулируется законом.
Если фотография ребенка была опубликована в интернете без согласия родителей, они вправе обратиться с жалобой в прокуратуру, а если публикация фотографий причинила ребенку (или его представителям) нравственные страдания, родители могут обратиться в суд с иском о возмещении морального вреда.
Заслуженный юрист России, доктор юридических наук Иван Соловьев:
«В случае нарушения положений закона о персональных данных родитель может потребовать немедленного устранения нарушения, допущенного хранителем этих данных, а если это не принесет результата, то подготовить аргументированное заявление в органы прокуратуры. Они будут обязаны провести проверки и вынести меры прокурорского реагирования».
За публикацию фотографий детей в интернете без согласия родителей предусмотрена ответственность ст. 137 Уголовного кодекса РФ.
В случае если суд признает вину, лицо, опубликовавшее фотографию, будет наказано штрафом в размере до 200 тыс. руб.
или в размере зарплаты или другого дохода за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Андрей Егупец; группа «Прямая речь»