Персональные данные

Содержание

Необходимая защита

В первую очередь разберемся с вопросом, зачем необходима такая защита? Согласитесь, мало кому из нас было бы приятно, если бы наши данные были в открытом доступе, даже несмотря на то, что большинство из нас самостоятельно выкладывает их в социальных сетях. Но одно дело Одноклассники или Facebook — информацию, которую мы там предоставляем, невозможно проверить. Кроме того, мы имеем возможность вместо ФИО писать ники, а информацию о дате рождения, месте проживания и пр. можем просто игнорировать.

Заполняя различные анкеты в госучреждениях, торговых точках и т. д., мы указываем много личной информации, которая могла бы стать доступной, если бы не одно «но» – в таких анкетах всегда присутствует пункт о разрешении на обработку данных в определенных целях. Нецелевое использование такой информации карается законом.

Закон о защите персональных данных заботится не только о физических, но и о юридических лицах. Мало кому понравится, если информация о финансовом состоянии дел или данных сотрудников компании будет доступна каждому желающему. Это значительно бы упростило жизнь мошенникам, чего не желают ни простые граждане, ни сотрудники правоохранительных органов.

Какие данные считаются персональными по законодательству?

Четкого перечня сведений, которые относятся к персональным, в законе не приводится. Под эту категорию попадает информация о:

  • самом человеке (ФИО, год рождения, адрес регистрации и проживания);
  • религиозных убеждениях;
  • расовой принадлежности;
  • состоянии здоровья;
  • составе семьи;
  • практически всей жизни человека.

Надо сказать, что, в сущности, мы повсюду сталкиваемся с необходимостью оставлять о себе ту или иную информацию, которая зачастую носит личный характер. Особо строго законом охраняется информация о паспортных данных человека, а также данные о финансовых доходах.

Заметим, что часть данных о нас относится к общедоступным сведениям, но и в этом случае они защищаются законом, так как несогласованное с человеком распространение может негативно отразиться на его жизни.

Часть информации о персональных данных может находиться в электронном формате, часть – в виде привычных бумажных документов. Закон защищает и охраняет ее в любом виде.

Действие законодательства распространяется практически на все сферы жизнедеятельности человека кроме адвокатской практики. Не подпадают под его действие и нотариусы (в отношении документов нотариального делопроизводства).

ФЗ «О персональных данных» от 27 июля 2006 года № 152-ФЗ определяет, что к персональным данным можно отнести любую информацию, которая изначально, прямо или же косвенно относится к четко определенному физическому лицу. В повседневной жизни, к таким данным можно отнести ФИО, паспортные данные, место рождения, адрес проживания и пр.

Что именно относится к персональным данным по закону?

Сразу же отметить, что в нашей стране существует определенное подразделение персональных данных на четыре вида:

  1. Первый вид – все персональные данные, которые можно отнести к расовой принадлежности индивида, его религиозных и философских убеждений, вся информация, которая касается здоровья, а также интимной жизни;
  2. Второй вид информации предполагает под собой данные, которые позволяют идентифицировать человека, а также получить все данные индивидуального характера (информация о заработке, паспортная информация);
  3. Третий вид информации определяется особенности, которые позволяют четко определить субъекта. В данном случае речь идет о данных паспортного характера;
  4. Четвертый вид информации — это вид информации, которая считается общедоступной.

Вполне очевидно, что законодательная база нашей страны четко определяет и защищает индивидуальные права человека. Все дело в том, что распространение такой информации и применение ее в определенных целях, может весьма негативно сказаться на жизни субъекта, именно по этой причине формируется необходимость защиты индивидуальных интересов каждого человека в отдельности.

Почему так важно защищать персональную информацию?

Как вы понимаете, мало кому бы понравилось, если бы его индивидуальные данные были доступны всем и каждому. Именно по этой причине, практически все анкеты, которые приходится заполнять человеку, содержат в себе дополнительную графу, в которой указано, что подписывая данный документ, человек, дает разрешение на использование и обработку его персональных данных. Но, это не значит, что такие данные могут стать общедоступными. Все гораздо сложнее. Это значит, что данные субъекта могут быть применены четко определенной компанией для определенных целей. Скажем, для рассылки сообщений и пр. В тоже время, данная информация не может быть применена в качестве элемента нарушения закона в виде формирования некой общедоступности.

Федеральное законодательство по данному вопросу содержит весьма исчерпывающую информацию. Причем, за распространение личной информации порой, могут быть назначены, весьма существенные штрафы и наказания. Так что, если вам периодически или же систематически приходится сталкиваться с личной информацией граждан страны, вам нужно весьма детально изучить данное законодательство, чтобы избежать определенных неприятностей в дальнейшем.

Понятие обратной силы закона в нашей стране существует достаточно давно и определяет устранение определенных нюансов в судебной системе. Обратная сила закона имеет еще…

Статья 19.22 КоАП определяет, что в случае отсутствия постановки транспортного средства на государственный учет в течение десяти дней, владелец транспортного средства получает…

Это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2010 году был принят , который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Пример персональных данных

Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными , с целью возможности применения положений к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Виды персональных данных

Выделяют четыре вида персональных данных, которые разделяются по степени информативности:

Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.

Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.

третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.

К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются персональные, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной власти, либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.

Обработка персональных данных

Базы персональных данных подлежат обязательной государственной регистрации, осуществляемой специальным государственным органом по вопросам защиты персональных данных в Государственном реестре баз персональных данных. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления уполномоченного государственного органа. Несмотря на это, уполномоченный орган имеет право на отказ в регистрации в случае несоответствия заявления о регистрации требованиям Закона.

Согласно Закону обработка персональных данных может осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законодательством Украины, в порядке, установленном законодательством. Если цель обработки меняется, то от субъекта персональных данных должно быть получено согласие на обработку персональных данных с новой целью. При этом не разрешается обработка персональных данных о физическом лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека.

Закон также устанавливает, что состав и содержание персональных данных должны соответствовать и не быть избыточными относительно цели их обработки. При этом объем персональных данных, которые включаются в базу персональных данных, должен соответствовать условиям согласия субъекта персональных данных. Субъект персональных данных имеет право, предоставляя такое согласие, ограничить право на обработку своих персональных данных.

Кроме того, следует отметить предоставленное Законом право субъекта персональных данных знать о местонахождении базы персональных данных, в которой содержатся его персональные данные, а также о местонахождении владельца и распорядителя такой базы данных, право на информацию о третьих лицах, которым передаются его персональные данные, а также на бесплатный доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных. Также Закон устанавливает определенные случаи, в которых субъект персональных данных должен письменно информироваться о его правах или действиях, выполненных с его персональными данными.

Владельцем базы персональных данных может быть физическое лицо-предприниматель или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку персональных данных. Такое лицо должно утвердить цель обработки персональных данных, установить состав обрабатываемых данных и процедуры их обработки, если иное не установлено законом.

Владелец базы персональных данных имеет право передать персональные данные для обработки распорядителю базы персональных данных на основании письменного соглашения.

Согласно Закону, банк обязан получать письменное разрешение на их обработку. Такое разрешение обычно запрашивается еще на стадии анкетирования клиента. В случае согласия персональные данные могут быть переданы третьим лицам и использованы для продвижения продуктов и услуг банка.

Если человек отказывает в обработке своих данных, то по закону кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Однако многие банки в случае несогласия клиента на обработку данных могут вообще отказаться предоставлять ему услуги.

Каждая компания обладает информацией о своих работниках, вносит эти данные в документацию и хранит их. Что входит в персональные данные работника или клиента и какие операции называют обработкой данных.

Внимание! Вы находитесь на профессиональном сайте со специализированным юридическим контентом. Для чтения статьи может потребоваться регистрация.

Читайте в нашей статье:

Когда компания принимает на работу нового сотрудника или заключает договор с клиентом – физическим лицом, она получает данные человека: его имя и фамилию, адрес, и т. п. В персональные данные входит много различной информации, также есть правила работы с ней. Если компания их нарушит, контролеры назначить крупный штраф. С 1 июля 2017 года действуют новые правила привлечения к административной ответственности за подобные нарушения.

О работе с персональными данными нужно уведомить Роскомнадзор

Если компания выполняет действия с персональными данными, она является оператором данных (п. 2 ст. 3 закона № 152-ФЗ). О том, что компания приступила к сбору такой информации, нужно уведомить Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Это делают по форме согласно Приложению № 1 к Методическим рекомендациям Роскомнадзора (утв. ).

Уведомление о работе с персональными данными подают в орган Роскомнадзора по месту регистрации компании. Документ можно подготовить как в бумажном виде, так и в электронном. Электронный вариант направляют через портал «Госуслуги» или сайт Роскомнадзора . После получения документа ведомство включит компанию в реестр операторов. Это делают в течение 30 дней с момента поступления уведомления. Проверить выполнение можно на сайте Роскомнадзора.

Уведомление в некоторых случаях не подают

Из правила об уведомлении Роскомнадзора есть исключения. Перед тем, как направлять документ, нужно проверить, не подпадает ли компания под эти исключения. Например, компания обрабатывает персональные данные только:

  • в отношении собственных сотрудников;
  • для заключения и исполнения сделок (например, персональные данные контрагентов);
  • без средств автоматизации (см. ).

Незаменимые помощники в работе юриста

При рождении каждому человеку дается имя и выдается свидетельство о рождении. Спустя годы гражданин получает паспорт, страховое свидетельство, ИНН и другие документы, которые содержат его персональные данные. При получении каждого из вышеуказанных документов гражданин подписывает согласие на обработку персональных данных, порой и не прочитав документ. Хранение и обработка данных гражданина в РФ регулируется Федеральным законом «О персональных данных», вступившим в силу с 26 января 2007 года. 152-ФЗ регулирует отношения, возникающие при обработке какой-либо персональной информации физических лиц. Закон именует их субъектами персональных данных. При этом обработчиками информации являются муниципальные и государственные органы, а также физические и юридические лица (компании, фирмы). Но что относится к персональным данным? Почему для их обработки требуется согласие гражданина и что оно должно содержать?

При трудоустройстве на работу работодатель обязан под роспись ознакомить работника с согласием субъекта на обработку персональных данных. При этом в подобном документе должны быть указаны следующие моменты:

  • Ф. И. О. субъекта (работника), его полный адрес, а также номер паспорта, дата выдачи и наименование выдавшего его органа. Если у гражданина нет паспорта, то указывается иной документ, удостоверяющий личность;
  • наименование и адрес организации, которая является оператором и осуществляет обработку персональной информации.

Кроме этого, согласно 152-ФЗ, в письменном согласии работника должны быть указаны цель обработки и перечень персональных данных, которые работник «разрешает» хранить и обрабатывать. Также в согласии на обработку данных указывается срок его действия, порядок отзыва и описание способов обработки данных, которые будет осуществлять оператор в процессе своей деятельности.

Итак, какие данные относятся к персональным? По степени информативности все персональные данные можно разделить на четыре вида:

  • первый вид – информация о расовой и национальной принадлежности, частной и интимной жизни гражданина, его здоровье, а также сведения о философских, политических и религиозных убеждениях;
  • второй вид – Ф. И. О. и адрес, сведения о заработной плате, паспортные данные, номер ИНН и СНИЛС;
  • третий вид – информация, содержащая только имя, фамилию и дату рождения;
  • четвертый вид – общедоступные сведения, по которым невозможно определить принадлежность персональных данных определенному физическому лицу.

Таким образом, к персональным данным гражданина относятся его Ф. И. О., адрес фактического проживания и прописки, дата и место рождения, номер и серия паспорта, дата его выдачи, серийные номера других документов (медицинский полис, ИНН, СНИЛС, пенсионное удостоверение), информация из трудовых и медицинских книжек, а также другие данные, относящиеся к конкретному физическому лицу. К ним можно отнести как информацию о семейном и социальном положении, так и сведения об образовании и доходах.

В соответствии с нашим законодательством любые персональные данные должны быть защищены, и доступ к ним должен быть ограничен. В связи с этим в организациях подобный доступ имеет лишь определенный круг лиц (начальник отдела кадров, делопроизводители и специалисты по кадрам, бухгалтеры). При этом личные дела работников, их трудовые книжки и вкладыши хранятся в сейфах.

Персональные данные

Эта статья или раздел описывает ситуацию применительно лишь к одному региону, возможно, нарушая при этом правило о взвешенности изложения. Вы можете помочь Википедии, добавив информацию для других стран и регионов.
Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей.
Эта статья или раздел нуждается в переработке. Пожалуйста, улучшите статью в соответствии с правилами написания статей.

Персона́льные данные (ПД) или личностные данные — любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам.

Хотя концепция персональных данных довольно стара, развитие сетей связи и автоматизированного анализа данных позволило красть, централизованно собирать и массово продавать данные о человеке. Эти данные помогают выследить человека, спланировать преступление против него или постороннему выдать себя за другого. Более мирное применение персональным данным — реклама.

Хотя современные технологии анализа данных позволяют отличить одного человека от другого по очень косвенным признакам, персональные данные — это юридическое, а не техническое понятие.

Нормативная база

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Положения Декларации получили своё дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод.

28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (далее — Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европарламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам — членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.)

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет уровни защищенности и новые типы информационных систем.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.

В 2008 году были приняты следующие документы (согласно Постановлению Правительства РФ № 781 — в настоящее время действие данного постановления отменено, однако методические материалы используются).

В 2012 году было принято новое Постановление Правительства № 1119, а в 2013 году введён в действие новый Приказ ФСТЭК № 21, а также очередные правки в Федеральном законе № 152 от 27.07.2011. Данные документы предъявляют новые требования к оператору персональных данных.

Федеральный закон РФ

«О персональных данных» от 27.07.2006 № 152-ФЗ.

Указ Президента РФ

«Об утверждении перечня сведений конфиденциального характера» указ Президента РФ от 6 марта 1997 г. № 188.

Постановления Правительства Российской Федерации

  • «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512;
  • «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687;
  • «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119.

Методические материалы Роскомнадзора

  • «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 N 29935);
  • «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013;

Методические материалы ФСТЭК России

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 года;
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 № 21 (Зарегистрировано в Минюсте России 14.05.2013 № 28375).

Документы, которые не применяются:

  • с 15 марта 2010 года:
    • «Основные мероприятия по организации технического обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года).
    • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года).

позже:

    • «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» приказ ФСТЭК России от 5.02.2010 № 58 (зарегистрирован в Минюсте России 19.02.2010 № 16456).

Приказ ФСТЭК России о составе и содержании мер по обеспечению безопасности персональных данных в ИСПДн

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документ зарегистрирован в Минюсте РФ 14 мая 2013 года, опубликован 22 мая 2013 года в «Российской газете» (№ 6083), вступил в действие с 1 июня 2013 года.

Признает утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).

Методические материалы ФСБ России

  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года № 149/54-144;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года № 149/6/6-622.
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» приказ ФСБ России от 10.07.2014 № 378.

В соответствии с положениями федерального закона от 27 декабря 2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“», вступившего в силу 29 декабря 2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПДн шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путём организации криптографической защиты данных, перестали носить обязательный характер.

Приказ трех ведомств

13 февраля 2008 г. был подписан так называемый «приказ трех»:

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.

Проводить классификацию информационных систем персональных данных должны все операторы персональных данных, осуществляющие обработку с использованием средств автоматизации.

Отменен совместным приказом ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г. № 151/786/461 «О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

Обнародование персональной информации судами

В силу ст. 13 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» Обнародование информации о деятельности судов в средствах массовой информации осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации, к которым относится Закон РФ от 27.12.1991 N 2124-1 «О средствах массовой информации», а также издаваемые в соответствии с ним иные нормативные правовые акты Российской Федерации. На основании п. В ч. 2 ст. 14 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации,» в сети «Интернет» размещаются сведения о находящихся в суде делах: регистрационные номера дел, их наименования или предмет спора, информация об участниках судебного процесса, информация о прохождении дел в суде, а также сведения о вынесении судебных актов по результатам рассмотрения дел.

Информация об участниках судебного процесса размещается в сети «Интернет» с учетом требований, предусмотренных статьей 15 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».В силу абз. 1 ч. 4 ст. 15, персональными данными являются фамилии, имена и отчества участников судебного процесса, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, идентификационный номер налогоплательщика — физического лица, основной государственный регистрационный номер индивидуального предпринимателя, страховой номер индивидуального лицевого счета; При размещении в сети «Интернет» текстов судебных актов, принятых судами общей юрисдикции, Верховным Судом Российской Федерации, за исключением текстов судебных актов, принятых Верховным Судом Российской Федерации в соответствии с арбитражным процессуальным законодательством, в целях обеспечения безопасности участников судебного процесса и защиты государственной и иной охраняемой законом тайны из этих актов исключаются персональные данные, указанные в части 4 статьи 4 ФЗ N 262-ФЗ.

Вместо исключенных персональных данных используются инициалы, псевдонимы и другие обозначения, не позволяющие идентифицировать участников судебного процесса.

Не подлежат исключению идентификационный номер налогоплательщика — индивидуального предпринимателя, основной государственный регистрационный номер индивидуального предпринимателя, фамилии, имена и отчества истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, административного истца, административного ответчика, заинтересованного лица, лица, в отношении которого ведется производство по делу об административном правонарушении, фамилии, имена и отчества осужденного, оправданного, секретаря судебного заседания, судьи (судей), рассматривавшего дело, а также прокурора, адвоката и представителя.

Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях (часть 1 статьи 1). Согласно части 2 статьи 8 Закона о персональных данных сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. В силу пункта 5 части 2 указанный Федеральный закон не распространяется на отношения, возникающие при предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации», который является специальным законом, подлежащим применению к спорным правоотношениям.

Защита персональных данных и ответственность

Ответственность за разглашение персональных сведений наступает, в соответствии с частью 1, 2, ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» по отношению к сведениям, которые составляют, например, врачебную тайну, разглашение которых не допускается, в том числе после смерти гражданина. К ним относятся:

  • сведения о факте обращения гражданина за оказанием медицинской помощи;
  • сведения о состоянии здоровья и диагнозе гражданина;
  • иные сведения, полученные при медицинском обследовании и лечении гражданина.

Также в примечании к статье ст. 137 УК РФ говорится, что она предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или СМИ, а также за те же деяния, совершенные лицом с использованием своего служебного положения. Из приведенных статей ясно, что к ответственности может быть привлечено любое лицо, нарушающее ФЗ. Выходит, что пока мобильные приложения (соцсети и др.), а также интернет вещей (IoT) не выполняют никаких действий без их подтверждения, то есть требования закона соблюдаются, но стоит отметить, что необходима особенная внимательность пользователя при подтверждении тех или иных прав на доступ к конфиденциальной информации. Это касается и стандартов защиты корпоративных данных.

Защита персональных данных в соцсетях

Хотя имеется возможность настройки пользовательского доступа в соцсетях, это не решает проблему защиты персональных данных. Существуют и другие пути утечки данных, а именно: общедоступные данные, добровольно размещаемые пользователями в социальных сетях, могут быть обработаны сторонними сервисами, но у физического лица всегда есть право на исключение этих данных путем направления соответствующего требования оператору персональных данных (например, оператор связи или хостеру), по которому последний обязан немедленно прекратить обработку персональных данных этого лица.

Персональные данные в цифровых медиа

Другим аспектом персонализации является растущая распространенность открытых данных в Интернете. Многие компании предоставляют свои данные в Интернете через API, веб-сервисы и стандарты открытых данных. Данные, предоставляемые таким образом, структурированы, чтобы их можно было связывать и повторно использовать третьими сторонами. Доступ к данным, доступным в личном социальном графе пользователя, может осуществляться сторонним прикладным программным обеспечением, подходящим для персонализированной веб-страницы или информационного устройства.

Веб-страницы могут быть персонализированы на основе характеристик пользователей (интересов, социальной категории, контекста и др.), действий, намерений совершить покупку, проверить статус объекта или т.д. Обратите внимание, что этот опыт редко является просто приспособлением для пользователя, но представляет собой взаимосвязь между пользователем и желаниями дизайнеров сайта при осуществлении конкретных действий для достижения целей (например, увеличение конверсии продаж на странице).

Персонализация также рассматривается для использования в менее открытых коммерческих приложениях для улучшения взаимодействия с пользователем в Интернете.

Массовая персонализация

Массовая персонализация определяется как индивидуальная настройка в соответствии со вкусами и предпочтениями конечных пользователей. Массовая персонализация может рассматриваться как совместная работа между клиентами и производителями, которые имеют разные наборы приоритетов и нуждаются в совместном поиске решений, которые наилучшим образом соответствуют индивидуальным потребностям клиентов с возможностями настройки производителей.

Основное различие между массовой кастомизацией и массовой персонализацией заключается в том, что кастомизация — это способность компании предоставлять своим клиентам возможность создавать и выбирать продукт в соответствии с определенными спецификациями, но имеет ограничения. Один пример массовой персонализации: веб-сайт, зная местоположение пользователя и покупательские привычки, будет предлагать предложения, адаптированные к демографии этого пользователя. Каждый пользователь классифицируется по определенной характеристике (местоположение, возраст и т.д.). Поведенческий таргетинг представляет собой концепцию, похожую на массовую персонализацию.

Примечания

  1. Федеральный закон «О персональных данных»
  2. Российская Газета. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва
  3. Постановление Правительства № 1119. Схема требований
  4. Сравнительный анализ старой и новой нормативно-правовой базы (от 02.2013).
  5. Порядок действия оператора персональных данных в соответствии с новым законодательством (от 02.2013)
  6. 1 2 ФСТЭК России — Информационно-справочная система по документам в области технической защиты информации
  7. ФСТЭК России — Решение ФСТЭК
  8. ФСБ РФ — Методические материалы открытого характера, предназначенные для определения методов и способов защиты с использованием криптосредств персональных данных.
  9. ФСТЭК, ФСБ, Минкомсвязь России. О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Российская Газета (31 декабря 2013 г.).
  10. Федеральный закон от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации
  11. 1 2 Манык П. В. Правовые основы безопасности виртуальной среды // Information Security. Информационная безопасность. — 2016. — № 2(35). — С. 33.
  12. Манык П. В. Защита персональных данных в социальных сетях // Information Security. Информационная безопасность. — 2016. — № 5. — С. 8-9.
  13. Thorpe, Chris; Rogers, Simon. «Ordnance Survey opendata maps: what does it actually include?».. The Guardian (2010).
  14. Google Opens Up Data Centre for Third Party Web Applications. Cio.com (2008-05-28. Retrieved 2013-01-16).
  15. Bowen, J.P. and Filippini-Fantoni, S. Personalization and the Web from a Museum Perspective. In David Bearman and Jennifer Trant (eds.).

> Ссылки

  • Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».

Что такое персональные данные?

Персональные данные — это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.

История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2010 году был принят Закон «О защите персональных данных», который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Пример персональных данных

Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, с целью возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

>Что такое база персональных данных, когда она нужна и как ее зарегистрировать?

Причины создания

Рассмотрим причины формирования БПД на примере заключения трудовых отношений.
Оформляясь на работу, работник должен предоставить в отдел кадров такие документы:

  • Паспорт.
  • Трудовую книжку.
  • Диплом об образовании (если нужно).
  • Фотографии.
  • Справку из ГНС об ИНН.

Работодатель, в свою очередь, не имеет права требовать от сотрудников следующие сведения:

  1. О национальной и партийной принадлежности.
  2. О происхождении.
  3. Другие документы, не предусмотренные по законодательству.

Заключение трудового договора оформляется с помощью приказа о приёме на работу. В нём прописываются все личные данные, а после ставятся нужные отметки в виде подписей.

Причина для формирования базы данных заключается в том, что работодатель должен внести информацию о каждом работнике, начале его службы на той или иной должности.

Вносится такая информация:

  • ИНН.
  • Пол.
  • ФИО.
  • Дата рождения и гражданство.
  • Образование и сведения об учебном заведении.
  • Сведения о местонахождении (проживание) и адрес прописки.
  • Запись о приёме на работу.

Все эти данные защищены законом и упорядочены в БПД. На каждого работника распространяются требования закона о защите ПД.

К примеру, если на предприятии работает одна особа, то руководство вносит данные лишь об одном физическом лице.

Исходя из этого, Министерство Юстиции сделало вывод, что информация, содержащая сведения об одном человеке, не является совокупностью ПД. А значит, вносить данные о сотруднике или нет, руководство решает самостоятельно. В некоторых ситуациях могут возникать споры.

>Сведения о нахождении

Все данные хранятся в государственном реестре. Чаще всего он расположен в налоговой инспекции города.

Пошаговая инструкция по регистрации

Чтобы зарегистрировать базу персональных данных, для начала нужно подать заявление:

  1. Войдите на сайт Госреестра и найдите окошко создания заявления.
  2. Заполните все поля, указывая точную и правильную информацию. Ни в коем случае не допускайте ошибок.
  3. Введите контрольный код и дождитесь, пока не всплывёт окошко об окончании регистрации.
  4. Обязательно сохраните файл. Узнать о том, как заполнять заявление физическому и юридическому лицу можно также на сайте.
  5. В конце нужно поставить электронную подпись, поскольку без неё документ не станут рассматривать.

Обработка обращения пользователя может занять несколько дней. Это вполне нормально.

По истечению срока регистрации, нужно снова войти на сайт, где будет ответ. Ответ может выглядеть так:

  • Зарегистрировано. Заявление о регистрации принято или находится на стадии рассмотрения.
  • Отказано. Было принято решение об отказе в регистрации БПД. Причину отказа направляют на почтовый ящик лица, который заполнял заявление.
  • Принято решение о регистрации. Выдаётся Свидетельство о регистрации базы. Оно высылается на почтовый ящик.

Подводя итоги стоит отметить, что каждый работодатель или частный предприниматель может подать заявление на регистрацию БПД. Это даст ему возможность официально трудоустроить сотрудников и получить данные, которые хранятся в специальной системе и не распространяются третьим лицам. В зависимости от целей, физическое или юридическое лицо принимает решение о том, насколько полной должна быть информация.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

> Ссылки

  • Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».

2.2. Категории персональных данных

Основные понятия информационной безопасности

Основные термины и определения» вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

  • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.

  • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

  • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации . Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

  • по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

  • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

  • по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

  • по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

  1. законодательный – законы, нормативные акты и прочие документы государства и международного сообщества;

  2. административный – комплекс мер, предпринимаемых локально руководством организации;

  3. процедурный уровень – меры безопасности, реализуемые людьми;

  4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

1.2. Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;

  • применении информационных технологий;

  • обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

  • информация — сведения (сообщения, данные) независимо от формы их представления;

  • информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

  • информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

  • обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

  • оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

  • конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

  1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

  2. установление ограничений доступа к информации только федеральными законами;

  3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

  4. равноправие языков народов при создании информационных систем и их эксплуатации;

  5. обеспечение безопасности при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

  6. достоверность информации и своевременность ее предоставления;

  7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

  8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

  1. информацию, свободно распространяемую;

  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

  4. информацию, распространение которой ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации — представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  2. соблюдение конфиденциальности информации ограниченного доступа;

  3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных, обязаны обеспечить:

  1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

  2. своевременное обнаружение фактов несанкционированного доступа к информации;

  3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

  4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

  5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

  6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в государства и определяет права и обязанности его субъектов.

Персональные данные

Необходимость обеспечения безопасности персональных данных в наше время — объективная реальность. Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных данных.

Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и сумму их долга — это примеры «безобидных » утечек. Кража персональных данных может нанести правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно установить источник утечки персональных данных вследствие высокой информатизации современного общества.

В соответствии с Законом персональные данные — любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПД.

Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств .

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона.

ФЗ «О персональных данных» выделяет следующие категории персональных данных.

Общедоступные ПД — данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

  • субъект ПД дал согласие в письменной форме на обработку своих персональных данных;

  • персональные данные являются общедоступными;

  • персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством сохранять врачебную тайну;

  • обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;

  • обработка персональных данных осуществляется в соответствии с законодательством определяет следующие категории персональных данных, которые обрабатываются в ИСПД:

Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.

Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПД.

Категория 4 – обезличенные и (или) общедоступные персональные данные.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

  1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:

  • цель обработки ПД

  • способы обработки ПД

  • сроки обработки ПД

  • перечень допущенных к обработке ПД лиц

  • перечень обрабатываемых ПД и источник их получения

  • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

  1. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.

  2. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.

  3. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных:

  1. Обеспечение безопасности обработки персональных данных, что означает обязанность «принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

  2. Уведомительный характер обработки персональных данных. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.

  3. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

  1. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

  1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

  2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;

  3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;

  4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

  5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;

  6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Автоматизированная и неавтоматизированная обработка персональных данных

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель.

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Данный документ вводит понятие «автоматизированный файл» – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, «автоматизированная обработка » включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение .

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

    Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Персональные данные – что это?

Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных).

Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме. При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного). Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта).

Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку. Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.

Согласно вышеуказанному закону, все персональные данные (ПД) разделяются на 4 категории:

  • общие;
  • биометрические;
  • специальные;
  • общедоступные (либо обезличенные).

Самым значимым видом сведений о частном лице являются общие персональные данные – именно они несут основную информацию о человеке. К этому типу относят практически все данные личного характера – ФИО, данные паспорта, ИНН, образование, семейное положение, номер страхового пенсионного свидетельства, номер мобильного, домашнего или рабочего телефона, уровень дохода клиента, информация о трудовой занятости и прочее. Сведения общего характера чаще всего заполняются согласно предоставленным документам, но могут быть зафиксированы и со слов самого физического лица.

Согласие на получение общих персональных данных чаще всего необходимо предоставлять для обслуживания в кредитных организациях, у оператора сотовой связи, интернет провайдера и даже в розничных магазинах (например, для оформления дисконтной карты и последующего получения информации о различных скидках или акциях).

К биометрическим персональным данным в основном относят сведения, необходимые для проведения каких-либо медицинских процедур или установления личности человека по физиологическим параметрам. Это может быть группа крови, рост, вес, дактилоскопические данные, результаты анализов ДНК. В некоторых случая к биометрическим сведениям относят и фотографии частного лица. Исключение – фото и видео, полученные во время проведения публичных либо массовых мероприятий.

Согласие на обработку биометрической персональной информации чаще всего необходимо оформлять для проведения медицинского обследования или лечения.

Под специальными ПД понимается информация, которая говорит о расовой принадлежности частного лица, религиозных взглядах либо философских суждениях, о состоянии психологического и физического здоровья. Такие данные заполняются согласно медицинским справкам или со слов самого частного лица.

Информация специального характера может потребоваться при трудоустройстве на новое место работы или, например, при участии в политической деятельности.

Выделяется еще один вид персональных данных – сведения, которые являются изначально общедоступными или обезличенными, а, значит, не могут быть скрыты. К такому общедоступному типу персональной информации относится, например, доходы сотрудников государственных и муниципальных органов. Обезличенные же сведения не принадлежат какому-либо конкретному субъекту персональной информации и находятся в свободном для всех доступе.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *