Персональные данные и их защита

Для физических лиц

История становления института защиты персональных данных Мировая история защиты персональных данных

С начала 60-х годов прогресс в области электронной обработки данных и появление первых ЭВМ позволило государственным органам и крупным предприятиям создавать обширные банки данных для повышения эффективности и увеличения сбора, обработки взаимосвязанных личных данных. Хотя такое развитие событий привнесло значительные преимущества с точки зрения эффективности и производительности, в свою очередь, это породило и явную тенденцию к массовому электронному хранению данных, касающихся частной жизни людей.

Первые шаги в этом направлении были предприняты в начале 70-х годов, когда впервые были установлены Принципы защиты персональных данных в автоматизированных банках данных в частном и государственном секторе. Цель состояла в том, чтобы привести в движение развитие национального законодательства на основе этих резолюций. Однако в ходе подготовки этих документов стало очевидно, что комплексная защита персональных данных будет эффективной только через дальнейшее укрепление таких национальных правил посредством обязательных международных норм. Это же предложение было сделано на Конференции европейских министров юстиции в 1972 году.

Только в 1981 году, после четырех лет переговоров, была заключена Конвенция «О защите физических лиц при автоматизированной обработке данных личного характера», известная как Конвенция 108. Договаривающиеся Стороны настоящей Конвенции должны предпринимать необходимые меры во внутреннем законодательстве для реализации принципов, изложенных в Конвенции 108, в отношении персональных данных каждого гражданина на их территории.

Конвенция 108 была первым юридически обязательным международным документом мирового значения о защите данных, отчасти вдохновленная уже существующей на тот момент европейской конвенцией о Правах человека и основных свободах, которая была открыта для подписания в 1950 году. В частности, ст. 8 гласит, что «каждый человек имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».

Основными принципами обработки и защиты персональных данных, предлагаемыми Конвенцией 108, стали добросовестность и законность получения и обработки персональных данных, хранение персональных данных для определенных и законных целей и неиспользование их способом, не совместимым с этими целями. Защита персональных данных должна осуществляться с применением соответствующих мер безопасности, что делает невозможным их случайное или несанкционированное уничтожение или случайную потерю, а также предотвращает несанкционированный доступ, модификацию и распространение персональных данных.

Конвенция предусматривает свободный поток персональных данных между государствами-участниками Конвенции. Этот свободный поток не может быть ограничен по соображениям защиты персональных данных, если только Стороны не отступают от этого условия, что они могут сделать только в двух конкретных случаях: когда защита персональных данных другой Стороны не «эквивалентна» или когда данные передаются в третью страну, которая не является Стороной Конвенции.

Предпосылки к построению системы защиты ПД

В связи со стремительным развитием информационной и телекоммуникационной сферы, с внедрением новых технологий, распространением инновационных, глобализационных и интеграционных процессов, Конвенция 108 стала основой для дальнейшего развития регулирования в сфере защиты персональных данных.

Поскольку ст. 4 предусматривает, что государства должны ввести в действие адекватное законодательство, прежде чем стать участником Конвенции, 38 государств ратифицировали Конвенцию и 13 ратифицировали дополнительный протокол. Другие страны готовятся ратифицировать документы, которые, с прецедентным правом Европейского суда по правам человека, являются частью образованного сообщества. Вместе с тем, эти инструменты не ограничиваются государствами-членами Совета Европы, поскольку ст. 23 для государств, которые не являются членами Совета Европы, предусматривается присоединение к Конвенции.

С момента подписания Конвенции в 1981 году общество было полностью трансформировано, в частности, в связи с популяризацией персональных компьютеров и Интернета, которые позволяют любому человеку или организации проводить «автоматизированную обработку данных». В то же время социально-экономическое развитие привело к еще более сложным формам организации, управления и производства, основанного на мощных системах обработки данных. В этом контексте человек становится активным агентом «информационного общества», а его конфиденциальность подвергается еще большему вмешательству со стороны информационных систем многочисленных государственных и частных услуг — банков, кредитных организаций, органов социального обеспечения, страхования, полиции, образовательных учреждений, медицинского обслуживания и так далее.

Эта эволюция представляет собой огромную проблему с точки зрения защиты персональных данных. Сегодня всевозрастающее число новых проблем и практических вопросов направляется в национальные органы по защите данных — в большинстве стран ими являются уполномоченные органы по защите данных.

Уполномоченные органы, как омбудсмены, которые стали неотъемлемой частью системы управления в демократическом обществе, должны интерпретировать принципы Конвенции и применять их при решении новых проблем и вопросов. Вместе с тем, опыт показывает, что ни принципы Конвенции, ни национальные правила по защите данных не могут регулировать точно каждую ситуацию, в которой персональные данные собраны в различных секторах: медицинская помощь и исследования, социальное обеспечение, страхование, банки, полиция, телекоммуникация и прямой маркетинг и т.д. Конечно, в каждой из этих областей данные должны быть собраны и обработаны в соответствии с основными принципами Конвенции, но пути и средства могут быть разными.

Защита персональных данных в Российской Федерации

В России данная Конвенция была подписана лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты. Не смотря на то, что ратифицирована Конвенция 108 была в 2013 году, ее принципы были взяты за основу при формировании российского законодательства о персональных данных.

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст.2 № 152-ФЗ «О персональных данных»).

Что же такое «персональные данные»?

Согласно базовому закону, персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональными данными являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т.п. Однако, здесь существуют нюансы, которые четко прописаны в законодательстве. Например, само по себе имя или даже имя, фамилия, отчество не будут являться персональными данными в том смысле, который мы вкладываем в рамках законодательства. Если на листке бумаги написать «Иванов Иван Иванович», это еще не означает, что в открытом доступе находятся чьи-то персональные данные и его права, как гражданина и субъекта персональных данных, ущемлены. Только если по этим данным возможно прямо или косвенно определить конкретную личность, они будут являться персональными данными.

В законодательстве о персональных данных все мы, физические лица, являемся «субъектами персональных данных», соответственно, имеем право на защиту своих прав, и Роскомнадзор является регулятором в данной области, выступая уполномоченным органом по защите прав субъектов персональных данных.

Необходимо знать и помнить, что по степени информативности персональные данные разделяются. Кроме того, ответственность за действия с разными категориями персональных данных различна, равно как и ответственность тех, кто их обрабатывает. Например, существует информация, позволяющая только определить личность субъекта, — фамилия, имя и дата рождения. Информацией, по которой можно идентифицировать человека и получить о нем дополнительные сведения, могут быть адрес и сведения о заработках. Специальные категории персональных данных включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта, судимости и пр. Также существуют общедоступные и обезличенные персональные данные. Общедоступные персональные данные, в соответствии с законодательством, не могут подвергаться сокрытию. Например, это могут быть сведения о доходах представителей органов государственной и муниципальной власти либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта (пример социальных сетей – субъект размещает о себе ту информацию, которую считает необходимой, в открытом доступе на своей странице). Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу. Такие данные могут быть зашифрованы, содержать код или идентификатор, наиболее часто такой метод используется в медицинских системах, в статистической отчетности и пр.

Берегите ваши персональные данные!

Многие граждане уже привыкли, что в магазинах, турфирмах, спортивных клубах, на сайтах интернет-магазинов, в учебных заведениях и кредитно-финансовых учреждениях собирается огромное количество ксерокопий паспортов и иных, удостоверяющих личность, документов, теряются медицинские карты, выбрасываются на мусорку мешки с финансовыми документами, содержащими персональные данные. Между тем, принципы обработки персональных данных очень хорошо описаны в ст.5 закона «О персональных данных». В частности, данные должны обрабатываться только в объёме, соответствующем целям обработки, запрещён сбор избыточных данных («на всякий случай»), обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Помните: в соответствии с требованиями российского законодательства субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, соответственно, оператор персональных данных обязан предоставить данную информацию субъекту по запросу.

Защита прав субъектов персональных данных – ключевое направление в деятельности Роскомнадзора. Портал персональных данных создан для того, чтобы граждане страны — субъекты персональных данных получали оперативную, актуальную и квалифицированную помощь и поддержку в вопросах, связанных с обработкой их данных в государственных, коммерческих и иных информационных системах, и защитой их прав.

На Ваши вопросы готовы ответить специалисты Управления.

Обратите внимание, что жалобы и запросы принимаются только в письменной форме. Для этого достаточно отправить письмо по электронному, почтовому адресу или через форму отправки электронного сообщения. Вся необходимая контактная информация размещена в разделе КОНТАКТЫ

Время публикации: 18.04.2014 15:26
Последнее изменение: 22.08.2017 16:17

В связи с трудовыми отношениями работодателю необходима информация, касающаяся конкретного работника, — его персональные данные.

Обработка персональных данных работника— это получение, хранение, комбинирование, передача или любое другое использование персональных данных.

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

  • — обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • — при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией и действующим законодательством;
  • — все персональные данные работника следует получать только с согласия и лично от него. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  • — работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
  • — работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
  • — при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
  • — защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет своих средств в порядке, установленном федеральным законом;
  • — работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
  • — работники не должны отказываться от своих прав на сохранение и защиту тайны;
  • — работодатели, работники и их представители обязаны совместно вырабатывать меры защиты персональных данных работников.

Порядок хранения и использования персональных данных работников в организации устанавливается работодателем. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • — не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
  • — не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • — предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
  • — осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку;
  • — разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только тс персональные данные работника, которые необходимы для выполнения конкретных функций;
  • — не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • — передавать персональные данные работника представителям работников в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

В целях обеспечения зашиты персональных данных, хранящихся у работодателя, работники имеют право на полную информацию об их персональных данных и обработке этих данных.

В ст. 90 ТК установлено, что лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Дисциплинарная ответственность предусмотрена трудовым законодательством (ст. 192—195 ТК). За разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе за разглашение персональных данных другого работника, может последовать расторжение трудового договора (подп. «в» п. 6 ст. 81 ТК).

Административная ответственность за нарушение законодательства о труде предусмотрена в ст. 5.27 КоАП. Также в ст. 20.23 КоАП установлена административная ответственность за нарушение правил производства, хранения, продажи и приобретения специальных технических средств, предназначенных для негласного получения информации.

На работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, может быть возложена обязанность возместить причиненные этим убытки (ст. 8, п. 2 ст. 139 ГК, п. 7 ч. 1 ст. 243 ТК).

Уголовная ответственность может наступить: за нарушение неприкосновенности частной жизни (ст. 137 УК); неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам гражданина (ст. 140 УК); неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК).

О законе

Федеральный закон №152-ФЗ «О персональных данных» был принят 27 июля 2006 года.
Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных,оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Основные положения Закона «О персональных данных»

  • Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
  • Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
  • В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
  • Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
  • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
  • Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

  • Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
  • Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
  • Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
  • Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
  • Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

Технические меры по защите персональных данных предполагают внедрение и использование программно — аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

Требования к информационным системам персональных данных

Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.
Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

  • приказом ФСТЭК № 21 от 18.02.2013 г;
  • приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).

Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

Контроль

Контроль за выполнением законодательства возложен на следующие органы:

  • Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
  • ФСБ – основной надзорный орган в части использования средств шифрования;
  • ФСТЭК – надзорный орган в части использования технических средств защиты информации.

Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Типичные позиции операторов персональных данных

  1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.
    Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.
    Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.
  2. «Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.
    В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, азначит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

Классическая ситуация: реализовать своими силами, или приглашать консультантов?

Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:

  • Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
  • Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
  • Может ли руководство компании оценить сроки и стоимость такого проекта?
  • Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
  • Каким образом необходимо подавать уведомление в регулирующие органы?

Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.
Компания «Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

  • Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
  • Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
  • Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
  • Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
  • Построение модели угроз и модели нарушителя безопасности персональных данных;
  • Проектирование системы защиты персональных данных;
  • Закупка и внедрение средств защиты;
  • Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
  • Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;

А также:

  • Сопровождение проверок Роскомнадзора;
  • Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.

Преимущества проведения мероприятий по защите персональных данных

После внедрения системы защиты персональных данных Заказчик получит:

  • Защиту от претензий и штрафов со стороны регулирующих органов;
  • Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
  • Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
  • Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
  • Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
  • Защиту от непредвиденной и принудительной остановки бизнеса;
  • Защиту от недобросовестных конкурентов;
  • Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.

Семь шагов к созданию системы защитыперсональных данных в организации.

1 шаг– издание Приказа по организации о начале работ по созданию системы защитыперсональных данных в организации. Этот шаг оформляется приказом попредприятию «Об организации работ пообеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов, в которых:

— назначаетсяответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных;

— даетсяуказание о разработке локальной документации, относящейся к защите персональныхданных;

— создаетсякомиссия по защите и обработке персональных данных в организации;

— утверждаетсяи вводится в действие Положение по защите и обработке персональных данных ворганизации.

2 шаг– проведение обследования информационных систем персональных данных организации.

Главный смыслпроведения обследования — принятиерешения о том, является ли организацияоператором персональных данных или нет. Если принято решение, что организация является оператором по обработкеперсональных данных, то проводится процедура определения класса информационной системы персональных данных напредприятии. По результатам реализации этого шага в организации появляютсяследующие документы:

— отчет обобследовании информационных систем персональных данных,;

— Приказ «Осоздании комиссии по классификации информационных систем персональных данных»;

— Актклассификации типовой информационной системы персональных данных

-и, как приложение к Положению о защите иобработке ПДн в организации, «Примерная модель угроз безопасности данных,обрабатываемых в информационных системах персональных данных».

3 шаг– направление Уведомления об обработке (о намерении осуществлять обработку)персональных данных в Управление Федеральной службы по надзору в сфере связи,информационных технологий и массовых коммуникаций по Санкт — Петербургу иЛенинградской области (или соответствующей территории). Бланк Уведомления можно скачать на сайте Управленияили получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно попочте, электронного вида недостаточно. При заполнении имеет смысл пользоваться Рекомендациями по заполнению образца формы уведомления обобработке (о намерении осуществлять обработку) персональных данных.

4 шаг- разработка, утверждение и применениедокументов под названиями: «Согласие наобработку персональных данных» и «Отзыв согласия на обработку ПДн».

5 шаг– внедрение системы защиты персональных данных. С точки зрения организационныхмероприятий этот шаг включает в себя:

— составлениеи утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно незабыть уведомить самих лиц о то, что они обрабатывают персональные данные!);

-создание и утверждение Перечня персональных данных, обрабатываемых ворганизации;

-создание иутверждение Положения об обработке и защите персональных данных в организации собязательным листом ознакомления сотрудников с этим Положением и еще, какминимум, двумя документами к ним — Обязательством об обеспеченииконфиденциальности персональных данных сотрудниками предприятия, Приказом о выделениипомещений для обработки персональных данных;

— создание и утверждение документа с названием»Описание системы защиты персональных данных при их обработке в информационных системахперсональных данных в организации. К описанию необходимо приложить:

— инструкциюпользователю по соблюдению режима защиты информации при работе в информационныхсистемах персональных данных;

— инструкциюадминистратору безопасности информационных систем персональных данныхорганизации;

— инструкцию по резервному копированию и восстановлению данных в информационных системах персональныхданных предприятия;

— положение о разграничении прав доступа к обрабатываемымперсональным данным в информационных системах персональных данных ворганизации.

6 шаг– необходимо определиться с техническими средствами защиты персональных данных.Технические средства защиты персональных данных бывают от:

-несанкционированного доступа;

— антивирусныесредства;

-межсетевыеэкраны;

— криптографические средства.

Всеприменяемые средства должны быть сертифицированы. Реестр сертифицированныхсредств защиты информации можно найти на сайте ФСТЭК России. После выбора,приобретения и установки средства необходимо правильно настроить!Документами, подтверждающими реализациюшестого шага, являются:

— переченьсредств защиты персональных данных;

— журнал учетаи хранения носителей персональных данных;

— актустановки средств защиты информации;

-утвержденнаяформа акта списания и уничтожения электронных носителей информации;

— утвержденнаяформа акта уничтожения документов;

— подписанныесоглашения о неразглашении персональных данных с третьими лицами(организациями) или соответствующие оговорки в контрактах и соглашениях (вособенности при трансграничной передаче данных).

7 шаг– создание и подписание «Заключения о соответствии системы защиты персональныхданных, обрабатываемых в информационных системах персональных данныхорганизации».

Если Высделали все эти шаги и завели в организации «Журнал учета обращений субъектовперсональных данных о выполнении их законных прав в области выполнениятребований действующего законодательства (в части обеспечения безопасностиперсональных данных)», то требования Закона Российской Федерации от 27.07.2006 № 152 – ФЗ «О персональныхданных» Вы, в основном,выполняете. Важно помнить, что когда Вы приобретаете новой оборудование(железо), ставите новые программы, расширяетесь о плане площадей в офисе илиструктурно – нужно не забывать вносить изменения в весь комплекс вышеперечисленных документов.

Задополнительной информацией, образцами типовых документов и нормативной базой можно обращаться в ООО «ТрэвелЭкспо»(www.travelexpo.ru) и исполнительную дирекцию СЗРО РСТ.

Проблема регулирования процесса сбора персональных данных, сохранения информационной безопасности и другие сопутствующие вопросы, связанные с работой с персональными данными в нашей стране, сейчас является относительно решенной и известной широкому кругу юристов. Очевидно, что законодательство не совершенно и нуждается в улучшении, однако основные положения регулируются Законом Украины «О защите персональных данных» от 1 июня 2010 года № 2297-VI. Так, в соответствии со ст. 12 указанного Закона сбор персональных данных является составляющей процесса их обработки, который предусматривает действия по подбору или упорядочению сведений о физическом лице. Субъект персональных данных уведомляется о собственнике персональных данных, составе и содержании собранных персональных данных, своих правах, определенных Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные: в момент сбора персональных данных, если они собираются у субъекта персональных данных, и в других случаях – в течение тридцати рабочих дней со дня сбора персональных данных. Кроме вышеприведенного Закона, юридические и физические лица имеют возможность решать вопросы, связанные с собственной информационной безопасностью, используя положения Гражданского кодекса Украины, Закона Украины «Об информации» и другие акты законодательства Украины.

Менее исследованным и более интересным вопросом с точки зрения шагов в будущее и евроинтеграционных амбиций Украины является ознакомление, изучение и анализ регулирования защиты персональных данных, в частности их сбор в странах Европейского Союза. Наиболее актуальной и активно развиваемой сейчас является проблематика защиты персональных данных и информационной безопасности в Интернете. Так, 25 мая 2018 года вступили в силу Правила нового Закона о защите персональных данных в Интернете для пользователей, находящихся на территории Европейской экономической зоны (ЕЭЗ). Здесь необходимо понимать, что ЕЭЗ охватываются не только страны собственно Европейского Союза, но и страны Европейской ассоциации свободной торговли (ЕАСТ), кроме Швейцарии.

Соглашение о создании Европейской экономической зоны подписано в 1992 году и вступило в силу 1 января 1994 года. ЕЭЗ основывается на тех же «четырех свободах», что и Европейское Сообщество: свободное передвижение товаров, лиц, услуг и капитала между странами ЕЭЗ. Таким образом, страны ЕАСТ, входящие в ЕЭЗ, имеют режим свободной торговли с Европейским Союзом. Это позволяет странам – участницам ЕАСТ, таким как Исландия, Норвегия и Лихтенштейн, принимать участие в едином европейском рынке без вступления в ЕС. В соответствии с Соглашением о Европейской экономической зоне, расширение ЕС влечет за собой расширение Европейской экономической зоны. Поэтому сейчас Европейская экономическая зона охватывает 30 стран.

Новые вышеприведенные правила обозначаются аббревиатурой GDPR (The General Data Protection Regulation, Общие правила защиты данных) и распространяются на всех участников всемирной сети Интернет, принимающих участие в сборе, хранении или обработке персональных данных. Хотя Закон принят для защиты европейских данных, глобальный характер Интернета означает, что GDPR устанавливается стандарт конфиденциальности данных во всем мире. Практически все крупнейшие интернет-компании, включая Facebook, Twitter и Google, подпадают под регулирование требований GDPR.

Важно указать, что GDPR – это давно назревший набор современных методов обеспечения и соблюдения конфиденциальности в бизнесе и особенно в Интернете, который является сверхважным в новых условиях развития глобальной экономики. Он призван научить нас относиться к данным пользователей с такой же тщательностью и уважением, с которой мы относимся к собственным.

В целях GDPR – обеспечивать еще большую защиту персональных данных лица, включая, но не ограничиваясь, его религиозные или политические убеждения. Наказания за несоблюдение правил существенные: до 20 млн евро или 4 % от общего оборота за нарушение. Кроме того, GDPR обеспечивается пользователям возможность компенсации любого материального и/или нематериального нарушения GDPR.

Целью настоящей статьи является обзор новых правил GDPR, поскольку на сегодняшний день практически каждый сайт в Интернете тем или иным образом работает с персональными данными пользователей. Если предприниматель будет знать, что ваш сайт соответствует требованиям GDPR, он продемонстрирует, что серьезно относится к конфиденциальности своих пользователей.

К чему/кому применяются правила GDPR?

GDPR применяются к данным, которые собираются, обрабатываются и/или хранятся в Европе независимо от того, где собраны данные. Если, например, у физического лица есть интернет-магазин в Украине с информационной рассылкой и хотя бы один потенциальный клиент из Европейского Союза подписался на нее, тогда на такой интернет-магазин распространяются правила GDPR, что открывает юристам новые возможности для улучшения своих знаний и предоставления помощи клиентам.

Важным условием GDPR является то, что с момента вступления в силу данного Закона запрещена передача данных за пределы Европейского Союза в любую страну, которую ЕС не считает соответствующей требованиям законодательства о защите персональных данных. Если данные передаются лично за пределы ЕС для обработки или хранения, то необходимо получить явное согласие на это от пользователя, которому принадлежат данные.

Стоит обратить внимание на то, что многоуровневый характер юрисдикций всемирной сети Интернет и такие технологии, как CDN, приведут к тому, что в определенный момент данные, которые собираются и хранятся лицом, будут передаваться за пределы Европейского Союза и одобренных стран. Поэтому независимо от того, какие другие разрешения запрашиваются у своих пользователей, желательно всегда получать разрешение на хранение данных за пределами ЕС и данные должны быть защищены.

GDPR различает два основных типа данных, которые должны быть защищены: личные и деликатные.

Личные данные – это любые данные, идентифицирующие человека. Ваше имя, адрес электронной почты, местоположение, биометрические данные, логин (другие онлайн-идентификаторы) – все это личные данные.

Деликатные данные – это то, что, по мнению ЕС, более личное, чем имя. Этническое происхождение, религиозные убеждения, сексуальные предпочтения, политические взгляды, криминальная история – все это можно отнести к деликатным данным. Новые правила призваны уделять больше внимания защите и деликатных данных.

Также GDPR ставятся условия для данных, которые могут собираться из разных источников. Лучшее поведение в таком случае заключается в том, чтобы никогда не спрашивать больше данных, чем вам нужно – чем меньше данных вы храните, тем меньше риска их потерять.

Права пользователей согласно правилам GDPR

В любой ситуации, когда вы запрашиваете данные пользователя, сначала спросите себя: как это повлияет на права собственника этих данных? GDPR определяются следующие официальные права, которыми владеют собственники данных: право доступа, право на объект, право быть проинформированным, право на исправление, право на перенос данных, право на удаление данных, право не подвергаться автоматическому принятию решений, право ограничить обработку данных.

Однако лица, хранящие данные, также имеют права. Например, если пользователь подписался на вашу рассылку. Со временем он решает, что больше не хочет получать рассылку и отписывается. В таком случае вы просто обязаны навсегда стереть адрес электронной почты данного пользователя. Однако, когда пользователь подписывается на рассылку, вы должны знать его IP-адрес, чтобы сопоставить с его согласием получать рассылку (как и обязаны), ведь вы вправе сохранить эти данные, чтобы подтвердить выполнение своим сайтом правил GDPR.

Практические шаги по обеспечению соответствия требованиям

Важно понимать, что регулирующий орган Европейского Союза не обязан доказывать ваше несоблюдение правил. Это ваша юридическая обязанность доказывать, что вы соответствуете правилам, а неспособность сделать это само по себе является несоответствием требованиям. Также следует выходить из принципа конфиденциальности по умолчанию: пользователю не нужно предпринимать никаких действий для обеспечения конфиденциальности. Если пользователь ничего не делает, его данные обрабатываются как частные. Внедрение конфиденциальности в проект: конфиденциальность не добавляется к проекту задним числом, она является неотъемлемым компонентом любого продукта или системы. Также необходимо осуществлять оценку влияния на конфиденциальность, насущной необходимостью для крупных компаний также станет необходимость принятия на работу сотрудника по защите данных. Кроме этого, следует указать, что в соответствии с GDPR согласие тщательно определено для обеспечения защиты прав пользователей: оно должно быть явным, поддающимся проверке и должно быть предоставлено по доброй воле. Согласие на цифровые услуги от ребенка в возрасте до 16 лет требует также согласия родителей.

Необходимо понимать, что если согласием, полученным вами от ваших пользователей, не выполняются какие-либо из этих требований, тогда будет считаться, что у вас нет согласия, независимо от намерений ваших пользователей. Также GDPR, в частности, требует конкретную декларацию о конфиденциальности.

Завершая краткий обзор материальных норм по сбору персональных данных и соблюдению информационной безопасности в Европейском Союзе, считаю необходимым остановиться на некоторых практических аспектах, связанных с судебной практикой относительно вопросов, касающихся тематики настоящей статьи.

Так, интересным с точки зрения понимания баланса между защитой персональных данных и свободой выражения взглядов является дело «Аксель Шпрингер АГ против Германии» («Axel Sprinder AG v. Germany»), 7 февраля 2012 г., № 39954/08.

Соглашение о строительстве «Северного потока» было подписано в присутствии Шредера и Путина в апреле 2005 года, а договор о строительстве – при их же присутствия в сентябре 2005 года. Через 10 дней после этого состоялись досрочные национальные выборы, инициированные Шредером путем постановки перед Бундестагом вопроса о доверии правительства, в котором ему было отказано, в результате чего президент Германии распустил парламент. Опубликованный газетой Bild вопрос был поставлен заместителем председателя парламентской фракции Свободной демократической партии Германии Карл-Людвиг Тиле. Жалобу против Германии подал в ЕСПЧ издатель газеты – компания «Аксель Шпрингер АГ».

ЕСПЧ пришел к выводу, что сведения о личной жизни Герхарда Шредера были опубликованы газетой не с целью удовлетворения любопытства читателей. Они касались действий Шредера на должности федерального канцлера и его спорного назначения председателем комитета акционеров германо-российского консорциума вскоре после увольнения со своей должности. Воспроизведенный в статье комментарий господина Тиле о причинах инициирования Шредером национальных выборов был ближе к оценочному суждению, нежели утверждением о факте, требующем доказательств.

Исследуя материалы дела, Страсбургский суд указал, что обсуждаемый вопрос поднялся в рамках политического контекста, привлекаемого внимание общественности, и Шредер не обвинялся в совершении преступления. Вопрос, поставленный Карлом-Людвигом Тиле, основывался на ряде фактов, а новое назначение Шредера широко освещалось в прессе и обсуждалось в парламенте. Вопрос господина Тиле также не был единственным комментарием, опубликованным газетой, наоборот, он сопровождался целым рядом заявлений политиков от разных партий. ЕСПЧ указал, что он не может согласиться с мнением немецких судов о том, что статья должна была также содержать сведения в поддержку Шредера. Бывший федеральный канцлер, занимавший один из высших политических постов Германии, обязан демонстрировать намного большую степень терпимости, чем частное лицо.

Кроме того, несмотря на то, что комментарий господина Тиле был опубликован газетой, сделан он был политиком и членом парламента. Призвание СМИ заключается в том, чтобы распространять информацию и идеи по всем вопросам, привлекающим общественное внимание. На политическом поприще свобода выражения мнения наиболее важна и пресса здесь играет ключевую роль «сторожевого пса». Наказание журналиста за помощь в распространении заявлений, сделанных другим лицом, серьезно помешало бы СМИ вносить свой вклад в обсуждение вопросов, вызывающих интерес со стороны общества. ЕСПЧ указал, что от газеты нельзя требовать постоянной проверки содержания каждого комментария, высказанного одним политиком в отношении другого, если такой дается в контексте публичной политической полемики.

Таким образом, ЕСПЧ пришел к выводу, что газета не вышла за пределы журналистской свободы в распространении спорного комментария. Немецкие суды не установили со всей убедительностью, что имела место насущная общественная необходимость поставить защиту репутации бывшего федерального канцлера Герхарда Шредера выше гарантированной заявителю свободы выражения мнения и общего интереса в том, чтобы способствовать этой свободе, когда речь идет о вопросах, привлекающих общественное внимание. Соответственно, было нарушение свободы выражения мнения, гарантированное ст. 10 Конвенции о защите прав человека и основоположных свобод.

Также актуальным и интересным с точки зрения защиты персональных данных относительно отслеживания за перемещением лица с помощью средств GPS является дело «Узун против Германии» («Uzun v. Germany»), 2 сентября 2010 г., № 35623/05, а также другие связанные с этим дела, в котором ЕСПЧ установил, что наблюдение за заявителем с помощью глобальной системы позиционирования, обработки и использования полученной таким образом информации было вмешательством в осуществление им своего права на неприкосновенность частной жизни, защищенной п. 1 ст. 8 Конвенции.

Тогда, как основной целью ст. 8 Конвенции является главным образом защита лица от произвольного вмешательства государственных органов, а неотъемлемой частью эффективного обеспечения неприкосновенности частной и семейной жизни могут быть положительные обязательства (см. решение в деле «Эйри против Ирландии», постановление от 9 октября 1979 г., серия А, № 32). Этими обязательствами подразумевается принятие государством мер, призванных обеспечить неприкосновенность частной жизни, даже в сфере отношений частных лиц, например пользователя Интернета и тех, кто предоставляет доступ к конкретному сайту. Иначе говоря, государство несет положительную обязанность по установлению эффективного сдерживающего средства против серьезных посягательств на личные данные лица, иногда с помощью применения эффективных уголовно-правовых положений. Сбор, хранение и раскрытие информации личного характера государством, например относительно полицейского реестра, является вмешательством в осуществление права лица на неприкосновенность частной жизни, гарантированную п. 1 ст. 8 Конвенции.

В случае хранения информации личного характера в интересах национальной безопасности должны существовать надлежащие и эффективные гарантии от злоупотреблений со стороны государства. Когда такие гарантии существуют, ЕСПЧ может и не установить нарушение ст. 8 Конвенции. Информация о пользовании средствами телекоммуникации широко используется властью государства для целей осуществления наблюдения, поскольку для доступа к ней и ее хранения требуются наименьшие расходы.

Завершить обзор европейской судебной практики хотелось бы не менее актуальным и интересным делом, связанным с регулированием проблем защиты персональных данных и информационной безопасностью лица.

«К. У. против Финляндии» («K. U. v. Finland») от 02 декабря 2008 г., заявление № 2872/02: национальным законодательством должно предусматриваться положение об отступлении от конфиденциальности с целью предупреждения преступлений и защиты прав и свобод других лиц (ст. 8 Конвенции).

Фабула судебного акта: неустановленное лицо разместило объявление сексуального характера на интернет-сайте знакомств от лица заявителя без его согласия, которому на тот момент было 12 лет.

Национальные суды отказали в истребовании от интернет-провайдера информации о лице, разместившем объявление, поскольку злонамеренное введение в заблуждение не было тем составом правонарушения, которое позволяло требовать выдачу такой информации. Кроме того, провайдер отказался сообщить данные о лице-нарушителе, утверждая, что это будет нарушением законодательства о конфиденциальности.

Заявитель обратился с жалобой по ст. 8 Конвенции за вмешательство в его частную жизнь и отсутствие действенного средства правовой защиты, которое позволяло бы установить лицо, разместившее объявление в Интернете, порочащее его достоинство, от его имени в нарушение ст. 13 Конвенции.

ЕСПЧ установил, что имело место нарушение ст. 8 Конвенции: факты, изложенные в жалобе, охватывают понятие «частная жизнь», в которое включается физический и моральный облик человека.

ЕСПЧ решил, что это объявление носило преступный характер, касалось несовершеннолетнего гражданина и делало его объектом внимания педофилов.

ЄСПЛ постановил, что эффективное расследование не могло начаться из-за наличия обязательного условия соблюдения конфиденциальности. Законодательством должно предусматриваться положение об отказе в конфиденциальности с целью предупреждения нарушения порядка и преступлений, а также защиты прав и свобод других лиц. Учитывая заключение относительно ст. 8 Конвенции, ЕСПЧ постановил, что отсутствует необходимость рассматривать вопрос о том, было ли в этом деле также нарушение ст. 13 Конвенции.

ВЫВОД:

Подводя итоги, хотелось бы указать, что в Украине система защиты персональных данных, в том числе их сбор и вопрос информационной безопасности, нуждаются в развитии, причем вектор этого развития должен быть западным. Поскольку страны Европейского Союза уже прошли этот путь, постепенно выстраивали системы, устраняли слабые места и адаптировались к новым условиям. Осложняет ситуацию низкая осведомленность граждан, в частности и правовая, однако решение этих проблем – продолжительный процесс, который может длиться годами, и он является неизбежным, если наше государство планирует занять свое место среди передовых демократий мира.