Закон о персональных данных россии

admin

Внесены изменения в закон о персональных данных

Президент подписал Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных».

Федеральный закон принят Государственной Думой 5 июля 2011 года и одобрен Советом Федерации 13 июля 2011 года.

Справка Государственно-правового управления

Федеральным законом уточняются сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

В частности, предусматривается, что нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, как это установлено в настоящее время, но и органы местного самоуправления, а также Банк России. Такие акты принимаются во исполнение федеральных законов и в пределах полномочий указанных органов и Банка России.

В принципах обработки персональных данных акцентируется внимание на законности их обработки, соответствии содержания и объёма обрабатываемых персональных данных заявленным целям обработки.

Подробно регулируются вопросы, связанные с обращением к оператору субъекта персональных данных и уполномоченного органа по защите персональных данных, а также с поручением оператора другому лицу осуществлять обработку персональных данных, включая ответственность оператора перед субъектом персональных данных в случае такого поручения.

Федеральным законом разделяется порядок трансграничной передачи персональных данных иностранным государствам, являющимся и не являющимся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Перечень иностранных государств, не являющихся сторонами указанной Конвенции, утверждается уполномоченным органом по защите прав субъектов персональных данных.

В целях выполнения обязанностей по обработке персональных данных оператору предписывается принимать необходимые и достаточные для этого меры, к которым могут относиться: определение политики в отношении обработки персональных данных; назначение лиц, ответственных за обработку персональных данных; принятие локальных нормативных актов; осуществление внутреннего контроля или аудита соответствия обработки персональных данных федеральному законодательству и требованиям к их защите; оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения указанных требований.

Существенное внимание уделяется мерам по обеспечению безопасности персональных данных при их обработке. Федеральным законом определяется перечень таких мер, а также предусматривается, что уровни защищённости персональных данных при их обработке в информационных системах персональных данных, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливаются Правительством Российской Федерации. Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Федеральным законом также определяются федеральные органы исполнительной власти, осуществляющие контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

kremlin.ru

Закон о хранении персональных данных простыми словами. Защита персональных данных в России

Персональные данные – это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение этого закона?

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор – это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор – это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или серия паспорта. Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных – важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например – адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные – это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

В законодательных актах встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них – обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

  • замена части информации;
  • замена цифровых данных:
  • сокращение сведений;
  • распределение сведений на разных серверах.
  • Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

    Другие понятия

    Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

    Трансграничная передача данных – это передача информации физическому или юридическому лицу иностранного государства.

    ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

    Хранение данных на территории России

    В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

    Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

    Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.

    Иностранные серверы

    Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

    Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

    Неудобства для предпринимателей

    Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

    Еще одна цель этого закона – обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

    Сервисы для хранения данных

    Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов – email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

    Обратная сила закона

    Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

    Сбор информации

    Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

    Передача данных за пределы РФ

    Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

    Влияние нового закона на банковскую сферу

    Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

    Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

    В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

    Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

    fb.ru

    Что нового в законе о защите персональных данных

    Сотрудничество с организациями немыслимо без заключения письменного соглашения сторон, т.е. без договора. Как часто вы заключали договор, последним пунктом которого вы соглашались на использование и хранение ваших личных данных в базе соответствующей организации?

    Если после подписания какого-либо договора или же после короткого сотрудничества, например, с кредитными организациями вам звонили из других фирм и предлагали свои услугу подобного характера, будьте уверены, что ваши персональные данные разглашены и ваши права нарушены.

    Краткий обзор

    Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

    Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.

    ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

    Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

    Любая информация, которая относится к персональным данным лица, может быть принятой и обработанной оператором только с согласия самого лица. Однако существуют случаи, когда разрешение субъекта не требуется. Данные исключения описываются в законе.

    Ответственность за нарушение

    Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

    Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.

    Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

    Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

    Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.

    В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

    Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

    Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.

    Что значит федеральный закон о страховых пенсиях 400? Ответ здесь.

    Основные положения закона о персональных данных с 1 января 2018 года с комментариями

    ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.

    Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.

    Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

    В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

    Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.

    При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

    Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

  • построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
  • обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
  • скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;
  • Видео: Зачем нужен

    Когда применяется

    Закон применяется с целью защиты лиц, когда осуществляется процесс обработки его персональных данных. Также закон применяется в тех случаях, когда может пострадать неприкосновенность вашей личной жизни, на которую вы имеете право, тайны личного характера или тайны вашей семьи.

    ФЗ 152 не работает в случаях, когда персональные данные лица используются другими лицами исключительно в личных целях, т.е. без получения выгоды или с целью обогащения. Использование личных данных для архивных фондов также не является нарушением. Если информация о вас является составляющей государственной тайны, данный закон вас не защитит.

    Что является персональными данными

    Вся информация о вас, прямо или косвенно относящаяся к вам или вашей деятельности, в том числе ваше полное имя, дата рождения, место вашего проживания, все кредиты, оформленные вами когда-то, все ваши браки и прочее, относятся к персональным данным лица.

    Какие отношения регулирует

    Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

    Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.

    Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

    В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

    ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.

    Какие часы тишины в московской области по закону? Подробности в статье.

    Нужен страховой медицинский полис нового образца? Как его получить читайте далее.

    Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

    zakonmaster.ru

    Закон о персональных данных россии

    Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно увеличилась . Обновленная статья 13.11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей. В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

    Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск блокировки ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

    Отчет Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

    Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования). Стоит здесь отметить громкое дело о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

    Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

    Какие законы?

    Основные действующие в России законы, касающиеся персональных данных:

  • Страсбургская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» 1985 года, была ратифицирована в России в 2005 году.
  • Конституция РФ. Статьи 23 и 24.
  • Федеральный закон «О персональных данных» от 27.07.2006 (далее «закон о персональных данных«)
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006
  • Также существуют специальные нормы по отраслям права: КоАП РФ (статья 13.11), как упоминалось выше, Трудовой кодекс РФ (глава 14), Воздушный кодекс РФ (ст. 85.1), ФЗ Об основах охраны здоровья граждан в РФ и другие. Кроме того, разными ведомствами, например, Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности издаются подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных.

    Давайте разберемся с понятиями.

    Персональные данные

    Законодатель отнес любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ о персональных данных). В силу такого широкого определения ПДн в законе, определить какие данные подпадают под охрану закона, а какие нет — дело не простое. Поэтому следует руководствоваться позицией регулятора — Роскомнадзора.

    Пункт 2.5 Методических рекомендаций Роскомнадзора по уведомлению о начале обработки персональных данных раскрывает в скобках, какая это может быть информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных.

    В любом случае, согласно закону, который имеет превалирующую силу над подзаконным актом (методические рекомендации), конкретный перечень видов персональных данных не определен, что дает правоприменительным органам волю интерпретации.

    Оператор персональных данных

    Любая организация, ИП и физическое лицо является оператором и, таким образом, попадает под действие закона о персональных данных, если

  • самостоятельно или с другими лицами (юридическими или физическими) организует и(или) осуществляет обработку персональных данных,
  • а также определяет цель такой обработки, состав персональных данных, действия (операции).
  • Проще говоря, если вы обрабатываете и контролируете персональные данные, то вы оператор.

    Обработка персональных данных

    Если вы совершаете хотя бы одно из нижеперечисленных действий, то вы обрабатываете персональные данные и обязаны подчиняться закону о персональных данных:

    • Сбор
    • Запись
    • Систематизация
    • Накопление
    • Хранение
    • Уточнение (обновление, изменение)
    • Извлечение
    • Использование
    • Передача (распространение, предоставление, доступ)
    • Обезличивание
    • Блокирование
    • Удаление
    • Уничтожение персональных данных.
    • ЧТО НУЖНО СДЕЛАТЬ ДЛЯ СОБЛЮДЕНИЯ ЗАКОНА?

      1. УВЕДОМИТЕ РОСКОМНАДЗОР

      Если вы обрабатываете персональные данные, как описано выше, то вы обязаны уведомить об этом Рoскомнадзор (управление Роскомнадзора по субъекту по месту регистрации в налоговом органе) до начала обработки (ст. 22 закона о персональных данных). Вы можете это сделать в письменном виде путем направления письма или электронно на сайте Роскомнадзора (бумажную версию также необходимо выслать. После чего в течение 30 дней со дня получения уведомления Роскомнадзором вносится запись в реестр операторов персональных данных, вы получаете выписку о внесении. По состоянию на 27 октября 2017 года 400 098 операторов зарегистрировано. Сведения об операторах и находятся в общем доступе (за исключением способов обеспечения безопасности персональных данных, более подробно об этом ниже).

      Важно отметить, что вы обязаны не просто заполнить уведомление и направить его, но также выполнить то, что вы в нем написали.

      Как и везде, существуют исключения. Поэтому сначала проверьте основания обработки персональных данных БЕЗ уведомления уполномоченного органа (ст. 22 закона о персональных данных). В частности, например, следующие основания для неуведомления:

    • данные, обрабатываемые в соответствии с трудовым законодательством (это не освобождает от защиты персональных данных ваших сотрудников и соблюдения трудового законодательства)
    • персональные данные были получены в связи с договором с субъектом персональных данных при условии, что (1) данные не передаются третьим лицам без согласия субъекта, (2) используются только для целей исполнения договора с субъектом
    • если данные общедоступны
    • у вас есть только ФИО клиента и др.
    • Если вы все-таки не попадаете под основания для исключения, то форма уведомления есть в Рекомендациях Роскомнадзора (приложение 1). Подробнее поговорим о некоторых сведениях, которые требуется указать в Уведомлении.

      Какие действия вы совершаете с персональными данными и какие способы обработки используете. В большинстве случаев обработка данных владельцами сайтов/веб сервисов является автоматизированной (есть также неавтоматизированная и смешанная). Здесь следует указать, куда передается информация: по внутренней сети оператора (то есть доступна только определенным сотрудникам), с использованием интернета или не передается вообще.

      Другой важный момент касается мер для обеспечения выполнения обязанностей по закону о персональных данных.

    • Издание документов и локальных актов о порядке обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным и прочее. См. также Рекомендации Роскомнадзора по составлению подобных документов.
    • Технические меры, например, защита паролем, антивирусные средства Если вы используете криптографические (шифровальные) средства, то нужно указать наименование таких средств и их класс (см. Приказ ФСБ России).

    Если вы передаете персональные данные на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 закона о персональных данных), то нужно указать какие именно стране. Допускается трансграничная передача на территорию стран — членов Совета Европы , а также иных государств, где персональные данные адекватно защищаются и есть комплексный закон, регулирующий данную область.

    Неуведомление Роскомнадзора грозит штрафом для юридических лиц от 3000 до 5000 р. (см. ст. 19.7 КоАП РФ). Такие дела рассматриваются судом (ст. 23.1 КоАП). Роскомнадзор вправе потребовать уточнения данных путем направления вам письма с перечнем недостающих сведений (ст.22 закона о персональных данных и п.3.3. Рекомендаций Роскомнадзора). В случае каких-либо изменений информации, которую вы указали в уведомлении, то требуется в течение 10 дней с момента возникновения изменений сообщить об этом управление Роскомнадзора (форма есть в приложении 2 к Рекомендациям Роскомнадзора).

    2) ХРАНИТЕ БАЗУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РОССИИ

    С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (ст.16 закона об информации). И несмотря на то, что закон о “локализации персональных данных” назвали законом ручного применения и под его раздачу недавно попала лишь сеть профессиональных контактов LinkedIn , не исключено, что похожее может произойти и с Фэйсбуком и рядом других крупных сервисов, после чего правоприменение по подобного рода делам может развернуться куда шире. Закон одинаково распространяется и на иностранные организации, которые обрабатывают персональные данные россиян и чьи услуги, сервисы направлены на пользователей в России. Если сбор данных осуществляется не в ходе функционирования крайне чувствительных веб-сервисов (тематических форумов, сайтов знакомств, UGC-ориентированных ресурсов), на которых организатору сервиса надлежит обеспечить максимальную безопасность данных своих пользователей, то размещение баз данных на серверах внутри страны способно минимизировать риски претензий Роскомнадзора в связи с несоблюдением закона. Однако решение об этом следует принимать в индивидуальном порядке, оценивая тематику, функционал и аудиторию ресурса. Пока же мы видим, что мелкие и средние веб-сайты, сервисы и приложения россиян в части соблюдения “закона о локализации” ведомство интересуют не сильно.

    Адрес местонахождения баз данных необходимо сообщить Роскомнадзору. Если Вы все таки решили локализовать данные, то обратитесь к вашему хостинг провайдеру для получения адреса расположения вашего сервера. Здесь можно ознакомиться более подробно с темой локализации данных в России.

    3) СОЗДАЙТЕ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ И ПОЛУЧИТЕ СОГЛАСИЕ НА ОБРАБОТКУ

    Согласно позиции РКН, в отношении использования веб-ресурсов не требуется рукописного согласия на обработку персональных данных, однако критически важным является наличие на сайте Политики обработки персональных данных либо Политики конфиденциальности с положениями о порядке сбора, хранения и обработки ПДн. Наиболее известен случай из практики о привлечении к адм. ответственности юридической компании за отсутствие на сайте политики обработки персональных данных. Поэтому наличие подобной политики на сайте во многих случаях считается уже достаточным, чтобы соответствовать закону.

    Утвердите приказом политику конфиденциальности, разместив ее на сайте, (мобильном приложении, если имеется) так, чтобы пользователю было не трудно найти ее, например, в футер. В политике нужно отразить категории персональных данных, виды обработки, цели обработки, меры защиты, какие действия вы выполняете с данными. Уведомляйте посетителей сайта, что их персональные данные обрабатываются в целях функционирования сайта и получайте их согласие на обработку. Можно посмотреть, как это делают другие сайты. Например, Яндекс в своей политике конфиденциальности указал, что использование сервисов является согласием на обработку: “Использование Сервисов Яндекса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов”.

    Похожее положение в политике конфиденциальности Рамблера : “При регистрации на Интернет-ресурсе заполняя размещенную на Интернет-ресурсе Рамблера регистрационную форму и предоставляя свои персональные данные Рамблеру, Пользователь подтверждает, что он достиг возраста 14 лет и что он принимает настоящий Регламент и дает согласие на обработку своих персональных данных Рамблеру в соответствии с Политикой в отношении обработки персональных данных в Рамблере и сведениями о реализуемых требованиях к защите персональных данных, а также изложенными в ней правилами обработки персональных данных”.

    Таким образом, в регистрационные и иные формы заполнения на вашем сайте, можно под кнопкой добавить следующую фразу со ссылкой на правила пользования сервисом, куда вы также включаете политику конфиденциальности. Такой подход также подтверждается и позицией Роскомнадзора.

    В июле 2017 Роскомнадзор опубликовал Методические рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. При написании Политики на сайте, необходимо руководствоваться этими рекомендациями.

    Несмотря на то, что политика конфиденциальности является юридическим документом, вы должны обеспечить, чтобы текст был легко понятен и точен. Нежелательно использовать скрытые предложения в тексте или делать его слишком расплывчатым, поскольку это может повлиять в общем на авторитетность и репутацию вашего сервиса.

    4) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ ПУНКТ О COOKIES

    Cookie-файлы — небольшие информационные маркеры (копии веб-страниц, картинок, видеороликов и другого контента, просмотренного с помощью браузера), которые ваш сайт может записывать на жесткий диск компьютера посетителя. Благодаря cookies ваш сайт может:

  • узнавать пользователей и их предпочтения
  • подстраивать веб-контент, отображаемый на вашем сайте, под отдельных пользователей
  • собирать информацию о том, как посетители используют ваш сайт
  • помогать Вам совершенствовать ваши продукты и сайты
  • В российском законе нет понятия cookies, каких-либо определенных специальных требований в их отношении, они формально не признаются персональными данными. Нет необходимости российскому сайту брать отдельное согласие посетителя путем нажатия кнопки при входе на его сайт, как некоторые сайты это делают. Дело в том, что иностранные компании, которые подчиняются юрисдикциям других государств, обязаны независимо от местонахождения пользователей, получать согласие на использование файлов cookies. Например, в Евросоюзе веб-сайт должен получить разрешение от посетителей прежде, чем записывать свои cookies на их компьютеры.

    Однако, лучше себя обезопасить, ведь определение персональных данных расплывчато, а Роскомнадзор не дремлет с проверками. Без каких-либо всплывающих окон и кнопок можно просто написать в политике конфиденциальности, что под персональной информацией пользователя также понимаются: “IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, местоположение”. Как компании формулируют пункты о cookies, вы также можете посмотреть в их политиках, размещенных на официальных веб-ресурсах.

    5) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ EMAIL И АДРЕС, КУДА ПОЛЬЗОВАТЕЛЮ МОЖНО ОБРАТИТЬСЯ С ЗАПРОСОМ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Например, об их удалении. Не игнорируйте письма с подобными запросами и удаляйте персональные данные по первому требованию, если это возможно сделать без болезненного изменения структуры и контента сайта. Ведь чья-то жалоба может стать поводом для внеплановой проверки Роскомнадзором и(или) судебной тяжбы.

    6) НАЗНАЧЬТЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Обязательным требованием является назначение соответствующим приказом ответственного за организацию обработки данных (ст.22.1 закона о персональных данных). Это может быть как физическое, так и юридическое лицо (по договору). Такой человек (или компания) должен следить за изменениями в законодательстве о персональных данных, информировать, обучать, обновлять политику конфиденциальности и иные акты о персональных данных.

    7) ПРИМИТЕ ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Меры по обеспечению безопасности персональных данных при их обработке установлены в ст.19 закона о персональных данных. Их вы также указываете в уведомлении Роскомнадзора.

    Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования по обеспечению безопасности. Эти требования содержатся в Постановлении Правительства №1119 от 01.11.2012. Во исполнений указанных положений появился следующий приказ: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Вы можете принять меры как самостоятельно, так и с привлечением юридического лица (или ИП), имеющего лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Существует множество организаций, предлагающих программные комплексы, IT решения, средства защиты персональных данных. Если вы нанимаете организацию и используете разработанные ею средства защиты, то удостоверьтесь, что они прошли в установленном порядке процедуру оценки соответствия (сертификация проводимая ФСТЭК).

    Вы также можете сами получить лицензию ФСТЭК. Это открывает возможности самим оказывать услуги в области защиты данных, в том числе для государственных организаций.

    Применение сертифицированных средств защиты или получение лицензии ФСТЭК — это дорогостоящий процесс и времязатратный, который чаще всего позволяют себе большие компании. Но можно рассматривать это как инвестицию, ведь подтверждается надежность и безопасность персональных данных клиентов и, таким образом, возрастает привлекательность вашего бизнеса.

    Все же нет обязательного требования привлекать специалистов — подрядчиков, можно это сделать самостоятельно. Все зависит от модели вашего бизнеса, сложности баз данных, процессов и финансовых возможностей.

    Несколько советов по принятию мер безопасности персональных данных самостоятельно:

  • Обследуйте свои информационные системы персональных данных, поймите, где именно и какие данные располагаются, как они двигаются и циркулируют, кто имеет к ним доступ
  • Классифицируйте свои информационные системы персональных данных (есть разные факторы классификации, например, расовая и национальная принадлежность, численность субъектов). Чем выше класс, тем серьезнее должна быть защита
  • Постройте модель угроз
  • Составьте список мер защиты и выполняйте их на основе классов информационных систем (включить в уведомление Роскомнадзора перечень таких мер)
  • Можете также привлечь сторонние организации частично по каким-то отдельным задачам. Определите степень привлечения.
  • Обучайте своих технических сотрудников
  • Проводите проверку эффективности мер самостоятельно или с привлечением подрядной организации не реже 1 раза в 3 года (п.6 Приказа ФСТЭК)
  • digitalrights.center

    Это интересно:

    • Название приказа мвд 001 Проект Приказа МВД России "Об утверждении Положения о назначении и выплате полицией вознаграждения за помощь в раскрытии преступлений и задержании лиц, их совершивших" (подготовлен МВД России 13.12.2017) Досье на проект В соответствии с пунктом 34 части 1 статьи 13 Федерального закона от […]
    • Федеральный закон 81-фз от 19 мая 2010 год Федеральный закон от 19 мая 2010 г. N 87-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросу культивирования растений, содержащих наркотические средства или психотропные вещества либо их прекурсоры" (с изменениями и дополнениями) Федеральный закон от […]
    • Федеральный закон от 24071998 n 124 Федеральный закон от 24071998 n 124 установление основ государственного регулирования и государственного контроля организации отдыха и оздоровления детей. социальная реабилитация ребенка — мероприятия по восстановлению утраченных ребенком социальных связей и функций, восполнению среды […]
    • Приказ мз рф 422н Приказ Министерства здравоохранения РФ от 7 июля 2015 г. № 422ан "Об утверждении критериев оценки качества медицинской помощи” (не вступил в силу) В соответствии с частью 2 статьи 64 Федерального закона от 21 ноября 2011г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской […]
    • Приказ от 10 сентября 2018 г n 625н Приказ ФТС России от 04.07.2018 N 1051 "О внесении изменений в реестр уполномоченных экономических операторов и выдаче нового свидетельства о включении в реестр уполномоченных экономических операторов публичному акционерному обществу "Таганрогский металлургический завод" (ПАО […]
    • Приказ министерства здравоохранения и социального развития рф от 29062011 Приказ Министерства здравоохранения и социального развития РФ от 29 июня 2011 г. N 624н "Об утверждении Порядка выдачи листков нетрудоспособности" (с изменениями и дополнениями) Приказ Министерства здравоохранения и социального развития РФ от 29 июня 2011 г. N 624н"Об утверждении Порядка […]
    • Приказ фст 101-э Приказ ФСТ России от 20.06.2014 N 1010-э "О введении государственного регулирования деятельности субъекта естественной монополии и включении организации в Реестр субъектов естественных монополий, в отношении которых осуществляются государственное регулирование и контроль" от 20 июня 2014 […]
    • Возврат подоходного налога при покупки квартиры пенсионерам Получение имущественного вычета при покупке квартиры/дома пенсионером По общему правилу имущественный налоговый вычет при покупке жилья могут получить только те налогоплательщики, доходы которых облагаются налогом (НДФЛ) по ставке 13%. Так как налог на доходы с пенсии не удерживается […]