###
  • Windows
  • Компьютер
  • Программы
  • Фотошоп
  • Графика
  • Интернет
  • Игры
  • Компоненты
  • Видео
  • Office
  • Мобильное
  • История

    • Что такое общедоступные персональные данные. Арбитражная практика: Обработка персональных данных из социальных сетей. Общедоступные персональные данные: особенности

    23.02.2022 История

    Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" Петров Михаил Игоревич

    Статья 8. Общедоступные источники персональных данных

    Общедоступные источники персональных данных

    Комментарий к статье 8

    1. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных. Общедоступные источники персональных данных могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

    Создание общедоступных источников персональных данных обусловлено необходимостью информационного обеспечения. Анализ действующего законодательства позволяет отметить, что к числу общедоступных источников персональных данных в настоящее время относятся: справочники, адресные книги, энциклопедии, документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющих общественный интерес или необходимых для реализации прав, свобод и обязанностей граждан. Вместе с тем современная наука и практика пока не сумели выработать эффективных критериев, с помощью которых можно было бы четко различать общедоступные и конфиденциальные сегменты информации.

    Создание общедоступных источников персональных данных, в состав которых подлежат включению фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных, осуществляется с обязательного согласия последнего. Кроме того, субъект персональных данных вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

    Использование персональных данных из общедоступных источников предполагает, в свою очередь, исключение возможности извлечения прибыли.

    В случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

    2. В целях защиты прав и законных интересов субъекта персональных данных законодатель предусматривает возможность отзыва персональных данных, используемых в общедоступных источниках. Их исключение может быть осуществлено как по требованию самого субъекта персональных данных, так и по решению суда или специально уполномоченного государственного органа.

    Статья 74-1. Обработка персональных данных с нарушением законодательства о защите персональных данных (1) Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных влечет наложение штрафа

    Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

    Статья 88. Передача персональных данных работника При передаче персональных данных работника работодатель должен соблюдать следующие требования:не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев,

    Статья 5. Принципы обработки персональных данных Комментарий к статье 51. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние

    Статья 6. Условия обработки персональных данных Комментарий к статье 61. Соблюдение принципов обработки персональных данных, представленных предшествующей статьей, не является единственным условием, гарантирующим защищенность прав и законных интересов граждан, чьи

    Статья 7. Конфиденциальность персональных данных Комментарий к статье 71. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием,

    Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Комментарий к статье 91. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что

    Статья 10. Специальные категории персональных данных Комментарий к статье 101. Комментируемая статья выделяет особые категории персональных данных и устанавливает общий запрет на их обработку. К специальной категории персональных данных относятся сведения, раскрывающие

    Статья 12. Трансграничная передача персональных данных Комментарий к статье 121. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что

    Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Комментарий к статье 151. Комментируемая статья своим содержанием апеллирует к положениям ст.150 ГК

    Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 161. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию

    Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Комментарий к статье 201. Нормы комментируемой статьи во

    Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных Комментарий к статье 211. Положения комментируемой статьи определяют процедуру

    Статья 22. Уведомление об обработке персональных данных Комментарий к статье 221. Процедура уведомления об обработке персональных данных по смыслу комментируемого Закона выступает одной из гарантий соблюдения прав и законных интересов субъектов персональных данных в

    К аждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).

    Что такое общедоступные ПД?

    К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека - субъекта персональных данных. Субъект - это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор - это юридическое или физическое лицо, муниципальный или государственный орган власти.

    К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

    • дата и место рождения;
    • домашний адрес;
    • номер телефона;
    • профессия;
    • индивидуальный налоговый номер;
    • место работы или учебы и другие сведения.

    В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

    К общедоступным данным относится также персональная информация, которая предоставляется:

    • при трудоустройстве, заключении контракта или трудового договора;
    • во время переписи населения;
    • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

    Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

    Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

    Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника - телефонные справочники.

    Обработка общедоступных данных

    Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

    Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

    ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

    Права субъектов общедоступных данных

    Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.

    Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.

    Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.

    В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.

    В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.

    «Персона» — данные, которые касаются человека, личности, биологического организма.

    Что такое, как собирать, где хранить, как защитить?

    Дактилоскопическая карта – это персональные данные или нет?

    В ней нет данных о личности.

    персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

    Адрес – это регистрация по месту жительства или месту пребывания.

    Условная классификация персональных данных.

    1) по степени открытости:

    общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

    Общедоступные персональные данные – это данные, на которые дается добровольное согласие и размещаются в открытом доступе.

    Часто некоторые владельцы сайтов запрашивают информацию для регистрации, которую не хочется предоставлять.

    Конфиденциальная информация – информация предоставляется строго в определенных целях. Иногда может быть собрана без ведома лица.

    В МВД хранится информация в информационных центрах

    2) по принадлежности

    — личные – принадлежат от рождения

    — служебные – в ходе работы, службы – классный чин, и т.п.

    3) по способу предоставления

    — добровольно предоставленная информация

    — предоставленная в общем порядке в соответствии с законодательством (принудительно)

    — собранные без согласия гражданина в соответствии с законодательством

    4) по характеру данные

    — биометрические (дактилоскопическая информация)

    Основные понятия, используемые при работе с персональными данными.

    — обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

    — распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

    — использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

    — блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

    Размещенную в Интернете информацию часто нельзя заблокировать.

    Большинство персональных данных:

    — хранятся на компьютере

    — размещаются в Интернете

    Проконтролировать размещение тяжело

    — уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; — ситуации, когда горели архивы

    обезличивание персональных данных

    — обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

    информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

    конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

    трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

    — общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

    Обработка персональных данных.

    1) законности целей и способов обработки персональных данных и добросовестности;

    2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

    3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

    4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

    5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

    Если когда-то кто-то заполнил дактилоскопическую карту, то она есть в информационном центре в их базах данных. Мы не можем, например, объединить базы данных об обычных гражданах и лицах, совершивших преступление.

    1) с согласия владельца персональных данных

    2) без согласия владельца персональных данных.

    Это относится к лицам, занимающим определенное положение и должность: военнослужащие, трупы

    Конфиденциальность персональных данных:

    Когда не требуется:

    1) в случае обезличивания персональных данных;

    2) в отношении общедоступных персональных данных.

    — оператором, который осуществляет сбор и обработку персональных данных.

    — ограничить доступ внутри собственной организации

    Оператор несет персональную ответственность за распространение персональных данных

    — установление ограничения доступа как в помещении, так и в сети (пропускная система, система карточной идентификации)

    Для локальных сетей – система login+ пароль

    Можно ограничить доступ по биометрической информации: отпечаток пальца, сетчатка глаза.

    — о расовой принадлежности

    — о политических взглядах

    — о религиозных или философских убеждениях

    — о состоянии здоровья

    — об интимной жизни

    Их обработка возможна только с согласия субъектов.

    1) наличие письменного согласия субъекта на их обработку

    2) если субъект персональных данных сделал их общедоступными

    3) если данная информация относится к информации, необходимой для защиты жизни, здоровья и иных жизненно важных интересов лица

    Такая информация может предоставляться в медико-профилактических целях – например, вирусная инфекция.

    Особенность обработки персональных данных в государственных или муниципальных информационных системах обработки персональных данных.

    — касается только государственных служащих и муниципальных служащих.

    Государственный орган обладает собственным статусом, есть самостоятельные системы обработки информации о государственных или муниципальных служащих.

    1) установлено, какая информация нужна в пределах своей компетенции

    2) есть ещё ФЗ «О государственной гражданской службе», то есть регулируется не только законодательством о персональных данных.

    Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, кроме следующих случаев:

    1) совершение преступления

    Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

    — сбор информации с подозреваемого является незаконным

    Обработка трансграничной информации.

    Можно требовать в целях защиты граждан той страны, куда передается, собирается только с письменного согласия субъекта.

    Права субъекта персональных данных.

    1) Право субъекта персональных данных на доступ к своим персональным данным

    Нельзя звонить в информационный центр МВД (главный информационный центр и зональный информационный центр)

    2) Права субъектов персональных данных на обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

    Достоверность информации будет проверяться другими лицами.

    3) принятие решений на основании исключительно автоматизированной обработки персональных данных. Человек может не доверять автоматизированной обработке. Можно требовать, чтобы следы пальцев хранились не только в компьютере, но и на бумаге.

    — ТрудК РФ – есть глава, посвященная персональным данным.

    ФЕДЕРАЛЬНЫЙ ЗАКОН О ГОСУДАРСТВЕННОЙ ДАКТИЛОСКОПИЧЕСКОЙ РЕГИСТРАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ от 25 июля 1998 года N 128-ФЗ

    Общедоступные персональные данные это

    Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:

    Его фамилия, имя, отчество,

    Год, месяц, дата и место рождения,

    Адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,

    другая информация (см. ФЗ-152 , ст.3).

    Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

    В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).

    Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

    Что такое оператор и субъект персональных данных?

    Оператор персональных данных — это, как правило, организация, а точнее - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

    Субъект персональных данных — это физическое лицо.

    Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

    Как классифицировать информационную систему персональных данных?

    Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

    II. Определить объем персональных данных, обрабатываемых в информационной системе:

    объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;

    объем 2 от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

    объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

    III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):

    Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;

    Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

    Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

    Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

    Судный день отсрочен до 1 января 2011 года

    Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).

    Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность .

    Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.

    Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

    Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

    Обязательные требования по защите информационных систем персональных данных

    Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:

    Для ИСПДн класса 4:

    Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

    Для ИСПДн класса 3:

    Декларирование соответствия или

    Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)

    Для ИСПДн класса 2:

    Обязательная аттестация по требованиям безопасности информации

    Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем

    Для ИСПДн класса 1:

    Обязательная аттестация по требованиям безопасности информации

    Должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

    Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

    Порядок действий по защите информационной системы персональных данных

    Последовательность действий при выполнении требований законодательства по обработке персональных данных:

    1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

    2) Предпроектное обследование информационной системы - сбор исходных данных;

    3) Классификация системы обработки персональных данных;

    4) Построение частной модели угроз с целью определения их актуальности для информационной системы;

    5) Разработка частного технического задания на систему защиты персональных данных;

    6) Проектирование системы защиты персональных данных;

    Ответственность за нарушения по обработке персональных данных

    Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:

    — уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),

    Административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

    Дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)

    и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

    ФСТЭК - Федеральная служба по техническому и экспортному контролю.

    ПЭМИН - Побочные Электромагнитные Излучения и Наводки

    Защита персональных данных

    В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступит в силу с 1 сентября 2015 года.

    Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

    • своевременного обнаружения несанкционированного доступа к ПДн;
    • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
    • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
    • постоянного контроля за уровнем защищенности персональных данных.

    Категории персональных данных

    Обработка ИСПДн также может осуществляться по параметру «объем обрабатываемых персональных данных», который предполагает количество субъектов, обрабатываемых в информационной системе, и может принимать следующие значения:

    • одновременная обработка более чем 100 тысяч субъектов ПДн (выполняется как в пределах субъекта РФ, так и в РФ в целом);
    • одновременная обработка ПДн от 1 до 100 тысяч субъектов (выполняется в органе гос.власти, работающих в области экономики РФ);
    • одновременная обработка ПДн менее чем 1 тысячи субъектов (выполняется в пределах конкретной организации).

    Разделение на категории позволяет не только определить класс ИСПДн, но и установить комплекс мер по обеспечению безопасности и защиты персональных данных в интернете, при обработке в инфосистемах.

    Персональные данные работника

    Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

    В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

    • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
    • определение личного представителя для защиты своих персональных данных;
    • получение полной информации о ПДн и их обработке;
    • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
    • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

    Состав персональных данных работника

    На основании п.2 ст.86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

    1. Документы, которые предоставляются работником при заключении трудового договора (ст.65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
    2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

    Защита персональных данных, ответственность за нарушение законодательства

    Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

    В соответствии со ст.150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

    Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

    Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 300 до 500 рублей — для физических лиц; от 500 до 1000 рублей — должностных лиц, от 5 до 10 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

    Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

    • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
    • лишения права занимать определенные должности на срок от 2 до 5 лет;
    • ареста на срок от 4 до 6 месяцев.

    Законно ли создание общедоступных баз персональных данных?

    В самом конце 2015 года я поучаствовал в обсуждении интересной статьи в ЖЖ, которая была посвящена необходимости создания единой общедоступной базы данных недобросовестных соискателей работы.

    Надо сказать, что идея не нова и, наверняка, ряд компаний имеют внутренние базы соискателей. С помощью таких баз кадровики отсеивают неподходящих кандидатов с самыми минимальными затратами времени. Если теоретически предположить, что в распоряжении всех HR страны может появиться такая база, то насколько было бы всем лучше. Ну, так ведь? Слава Богу, нет, не так. Как правильно отметили комментаторы данной статьи, потенциальные выгоды могут легко перекрыться негативом, который неизбежно возникнет от неправомерного использования данных из базы, необоснованного включения/исключения людей в такие базы, ну и вопросов репутации, чести и достоинства включенных в базы людей.

    К счастью, с 2006 года в России действует федеральный закон «О персональных данных», который однозначно определяет условия, при которых такие базы могут существовать:

    2. Статья 6 федерального закона «О персональных данных» определяет, что «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».

    3. Статья 7 федерального закона «О персональных данных» определяет, что «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.»

    4. Статья 8 федерального закона «О персональных данных» определяет, что: «1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

    5. И наконец, статья 13.11. Кодекса Российской Федерации об административных нарушениях, определяет, что «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.»

    Другими словами и короче:

    1. Любые данные, относящиеся к физическому лицу (включая просто номер телефона), являются персональными.

    2. На обработку персональных данных нужно получить согласие, которое можно в любой момент отозвать.

    3. Если у кого-то есть законный доступ к персональным данным, то их запрещено раскрывать кому-либо или делиться с кем-либо без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

    4. Специально для желающих создавать общедоступные источники персональных данных предусмотрена письменная форма согласия.

    5. За нарушение установленного порядка сбора и хранения персональных данных предусмотрена ответственность.

    Вывод очень простой и понятный – создание единой общедоступной базы нерадивых соискателей работы возможно только с письменного согласия этих самых нерадивых работников, что, естественно, сводит к нулю вероятность законного создания такой базы. Тем, кто все же решит такие базы создавать и делиться ими с товарищами, наша компания рекомендует ознакомиться с действующими в данный момент наказаниями.

    Статья 8. Общедоступные источники персональных данных

    Комментарий к статье 8

    1. Комментируемая статья посвящена так называемым общедоступным источникам персональных данных, которые доступны неопределенному кругу лиц. К таким источникам относятся, в частности, справочники (например, лиц, проживающих в многоквартирном доме; работников оператора и т.п.) или адресные книги. При этом нормы этой статьи распространяются лишь на те общедоступные источники, которые создаются по инициативе оператора, а не в рамках исполнения им требований законодательства о раскрытии или опубликовании определенной информации (п. 11 ч. 1 ст. 6 Закона о персональных данных). Таким образом, она не касается сведений, содержащихся в ЕГРЮЛ, а также в иных реестрах, формируемых в соответствии с законодательством РФ (Постановление Президиума Нижегородского областного суда от 6 июля 2016 г. по делу N 44г-49/2016; Апелляционное определение Тамбовского областного суда от 15 февраля 2016 г. по делу N 33-500/2016). Режим использования и изменения информации, содержащейся в этих сведениях, определяется требованиями законодательства и основан на принципе открытости и достоверности данных, хранящихся в государственных информационных системах. Так, в соответствии с ч. 9 ст. 14 Закона об информации государственные органы обязаны обеспечить достоверность и актуальность информации, содержащейся в государственной информационной системе, доступ к указанной информации в случаях и в порядке, которые предусмотрены законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
    2. Положения, содержащиеся в комментируемой статье, следует отличать от норм п. 10 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 Закона о персональных данных, устанавливающих основания для обработки персональных данных в отсутствие согласия субъекта. В первом случае речь идет об условиях правомерности первичного распространения оператором персональных данных и придания им статуса общедоступных, во втором случае - об обработке заинтересованными лицами персональных данных, которые уже являются общедоступными, в том числе пользователями таких общедоступных источников.
    3. Формат и состав данных, включаемых в общедоступные источники персональных данных, определяются оператором. При этом такие персональные данные, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, могут включаться в общедоступные источники исходя из имеющихся у оператора данных, а источником иных видов персональных данных может выступать лишь сам субъект, на что недвусмысленно указывает слово "сообщаемые".
    4. Главным условием создания и использования оператором общедоступного источника персональных данных является получение согласия на это от каждого субъекта, персональные данные которого в такой источник включаются. При этом Закон не делает никаких исключений из указанных положений, в связи с чем включение оператором персональных данных, которые уже были сделаны общедоступными с согласия их субъекта ранее, в создаваемый таким оператором источник общедоступных данных все равно требует согласия субъекта. Во многом это связано с тем, что создание баз данных, содержащих персональные данные, уже само по себе несет определенные риски для их субъектов, в связи с чем должно быть ими санкционировано. Такое согласие должно отвечать требованиям, установленным в ст. 9 Закона о персональных данных.
    5. В соответствии с ч. 2 комментируемой статьи оператор общедоступного источника персональных данных обязан исключить сведения о субъекте на основании заявления такого субъекта, решения суда или требования уполномоченного органа (например, прокуратуры или Роскомнадзора). Рассматриваемая норма не устанавливает срок, в течение которого оператор должен удалить сведения, представляющие собой персональные данные, в связи с чем думается, что здесь применимы положения ч. 1 ст. 21 Закона о персональных данных, в силу которых оператор должен заблокировать доступ к таким данным с момента обращения их субъекта, т.е. незамедлительно. В результате указанных действий данные перестают быть доступными третьим лицам и утрачивают статус общедоступных данных, в том числе для целей применения положения п. 10 ч. 1 ст. 6 Закона о персональных данных о допустимости обработки таких данных без согласия субъекта. Отказ оператора в удовлетворении требований субъекта персональных данных об исключении его данных из общедоступного источника в порядке ч. 2 ст. 8 Закона о персональных данных дает право субъекту обжаловать данный отказ или бездействие оператора в Роскомнадзор или в судебном порядке (см. комментарий к ст. 17 настоящего Закона).
    6. Европейское законодательство содержит положения, регламентирующие справочники абонентов (directories of subscribers) . В соответствии со ст. 12 Директивы 2002/58/EC о защите частной жизни в сфере телекоммуникаций устанавливаются следующие требования:
    - субъекты персональных данных должны быть бесплатно извещены о планируемом включении их данных в такого рода справочники с описанием механизма поиска в этих справочниках;
    - субъектам персональных данных должна быть предоставлена возможность внесения исправлений в сведения о них, содержащиеся в таких справочниках;
    - в случае использования таких справочников для целей, отличных от поиска обычной контактной информации, необходимо получение согласия субъекта персональных данных.
    Национальные законодательства могут устанавливать более жесткие требования, предъявляемые к операторам при создании такого рода справочников.