Закон о персональных данных — что это такое?

С 2006 года вступил в силу Федеральный закон «О персональных данных» №152-ФЗ. Этот нормативно-правовой акт регламентирует, что относится к персональной информации о гражданах, кто, как и на каком основании ее хранит, а также устанавливает стандарты хранения.

Целью сбора и обработки персональных данных закон определяет обеспечение защиты от несанкционированного доступа со стороны третьих лиц. В этом статье разберем, как происходит исполнение закона о персональных данных, и какие меры воздействия будут применены к его нарушителям.

Что такое персональные данные?

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Требования закона о персональных данных распространяются на следующие группы сведений:

  • общие — к ним относится основная информация о человеке: фамилия, имя, отчество, год рождения, ИНН, сведения о работе и т.д.;
  • биометрические — группа крови, отпечатки пальцев, рисунок радужной оболочки глаза и иная информация, содержимое которой индивидуально. Сюда же можно отнести фото и видеозаписи, на которых запечатлен гражданин;
  • специальные — к такого рода данным относятся философские или религиозные взгляды человека, наличие судимостей и т.д.;
  • обезличенные — к такой категории можно отнести любую информацию, если по ней нельзя идентифицировать конкретного гражданина. Например, сам по себе номер телефона или адрес электронной почты не относятся к персональным данным, но если они сопряжены с фамилией человека, его можно идентифицировать.

Понятие персональных данных включает не только фамилию, имя, отчество либо домашний адрес, сюда же относится информация о религиозных взглядах человека.

персональные данные

Как защищаются персональные данные?

Закон о защите персональных данных № 152-ФЗ регламентирует несколько направлений защиты конфиденциальной информации о гражданах:

  • законодательные меры — государство обязывает оператора совершать определенные действия, в то же время вводит запрет на ряд операций;
  • технические — оператор предпринимает ряд мер, которые делают невозможным или существенно затрудняют доступ третьих лиц к сведениям о гражданах.

Существует несколько технических способов защиты личных сведений граждан, к которым можно отнести замену цифровых данных, сокращение сведений, распределенное (в нескольких местах) хранение информации.Обратите внимание!

В 2015 году закон о защите персональных данных претерпел существенные изменения. Суть поправок сводится к тому, что персональные данные граждан РФ должны храниться исключительно на территории РФ. Это требование применяется как к документам, содержащим подобные сведения, так и к информации в электронном виде.

Как операторы персональных данных нарушают ваши права?

Любые действия, которые оператор персональных данных совершает с ними, называют обработкой. Под этим термином следует понимать накопление, хранение, изменение, передачу и обезличивание такой информации. На все эти действия ресурсы имеют право, но при соблюдении некоторых процедур.

По общему правилу перед началом обработки информации оператор обязан взять у гражданина в письменном виде согласие на это.

Закон содержит ряд норм о передаче персональных данных. При передаче таких сведений третьим лицам от гражданина необходимо получить согласие, кроме случаев, установленных законом. Именно с нарушением этих требований законодательства и сопряжены основные действия администраторов сайтов в интернете. 

Ответственность за нарушение правил работы с персональными данными

Законодательство РФ предусматривает 3 вида ответственности:

  • гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
  • административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
  • уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

В каких случаях законодательство о защите персональных данных следует соблюдать?

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

  • при осуществлении правосудия;
  • при заключении договора потребительского кредитования;
  • при заключении трудового договора;
  • при защите прав и интересов гражданина;
  • если при заключении гражданско-правового договора стороны достигли согласия об этом;
  • в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

Источник: https://pravoved.ru/journal/zakon-o-personalnyh-dannyh-chto-ehto-takoe/

Закон о персональных данных: так ли страшен черт, как его малюют?

1 июля 2017 года в силу вступили поправки к закону “О персональных данных” (152-ФЗ). Теперь операторы (так в законе названы государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных) обязаны хранить и обрабатывать личные данные граждан РФ на территории страны, предварительно получив на это согласие субъектов персональных данных.

Информационный ажиотаж, вызванный вступлением в силу поправок к закону “О персональных данных”, можно сравнить разве что с реакцией на оперативно разработанный и принятый летом 2016 года “пакет Яровой”. С той лишь разницей, что инициативой господина Озерова и госпожи Яровой остались недовольны преимущественно представители ИТ-компаний и операторы связи, вынужденные выделять из бюджета дополнительные средства на реализацию ТЗ. А вот закон “О персональных данных” коснулся огромного количества людей и организаций, взаимодействующих с гражданами России, — компаний, социальных сетей, государственных органов, визовых центров и даже обыкновенных блоггеров. Ведь многие владельцы блогов на том же WordPress даже не догадываются о том, что являются операторами персональных данных. Между тем, получить штрафные санкции за несоблюдение закона они могут уже завтра.

Что считать персональными данными?

Строгого их перечня в российской действительности не существует. Комментировать значение термина представители Минкомсвязи и Роскомнадзора отказываются в силу отсутствия полномочий. Поэтому всем заинтересованным приходится догадываться. Справедливости ради, Минкомсвязь разработало памятку по основным вопросам обработки персональных данных. Не сказать, что она вносит ясность в ситуацию, зато по ссылке любой желающий может задать экспертам уточняющий вопрос.

В российском законе сказано, что персональными данными является любая информация, с помощью которой можно идентифицировать конкретного человека. Идентично понятие раскрывается и в статье 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (Россия также входит в число стран, подписавших конвенцию).

В “допоправочную” эпоху персональными данными признавались фамилия, имя, отчество, номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора — в различных комбинациях, но не по отдельности.

Олег Ефимов, управляющий партнер правового партнерства “Ефимов и партнеры”, который консультировал ATLEX по практической стороне вопроса, уточнил, что достаточно сочетания имени и адреса электронной почты, чтобы Роскомнадзор признал указанные данные персональными.

Помимо прочего, к персональным данным относятся и специфические сведения, вроде информации об отпечатках пальцев, геноме человека или его здоровье.

Можно ли хранить и обрабатывать персональные данные за границей?

Новость о том, что теперь наши персональные данные должны храниться и обрабатываться внутри страны вызвала у моих коллег пару панических атак. Не менее взволнованы представители российского бизнеса, которые хостятся за рубежом. Для них размещение серверов за границей — вопрос принципиальный. Ведь иностранные хостинг-услуги зачастую дешевле отечественных, а релокация в ряде случаев может обеспечить непрерывность бизнес-процессов.

Так, перенос серверов за границу избавляет российские компании от возможных административных атак. Например, если на вашу компанию поступила жалоба (в том числе и необоснованная) о том, что на вашем сервере хранится запрещенная в РФ информация, то правоохранители должны и могут изъять оборудование из коммерческого дата-центра на экспертизу. В этой ситуации они могут навестить хостера без предупреждения (постановление суда им не требуется). Внеплановые проверки могут затянуться на несколько месяцев. Если нарушений не будет выявлено, оборудование вернут, но бизнес понесет серьезные финансовые и репутационные убытки.

Европейское (в частности чешское) законодательство более лояльно относится к хостерам и их клиентам. Оборудование провайдер выдаст исключительно по решению чешского суда — в том числе и по запросу российских правоохранительных органов.

Кроме того, многие российские компании арендуют у зарубежных хостинг-провайдеров вычислительные мощности под сервис восстановления данных после сбоев (Disaster Recovery). В случае выхода из строя основной площадки он позволяет восстановить функционирование ИТ-системы за пределами страны.

Можно, но осторожно

Если персональные данные россиян должны обрабатываться на родине, значит ли это, что оборудование нужно вернуть в Россию?

Этот вопрос Олег Ефимов прокомментировал так: “Закон “О персональных данных” обязывает размещать на территории страны основную, наиболее полную и актуальную базу персональных данных. За границей же можно держать ее копии или части. Причем разрешено (а точнее — не запрещено) как хранить, так и обрабатывать персональные данные россиян в дочерних базах — с тем лишь условием, что использоваться они будут в тех же целях, что и в основной базе данных”.

Таким образом, нет необходимости возвращать все оборудование в Россию. Достаточно размещения нескольких серверов в коммерческом дата-центре под основную базу персональных данных. В результате клиент получает географически распределенные ИТ-площадки, которые можно синхронизировать.

Отдельно стоит сказать об иностранных компаниях, которые работают на российском рынке. Для соблюдения закона им тоже придется разместить серверы на территории нашей страны. В противном случае их ждет судьба социальной сети LinkedIn.

Самоидентификация: как понять, что вы — оператор персональных данных

Вернемся к вопросу о получении согласия субъектов на обработку их персональных данных.

Прежде, чем оператор начнет производить с данными какие-либо действия, он должен получить согласие субъекта. Речь идет о сборе, использовании, обезличивании, блокировании, удалении и уничтожении данных.

Казалось бы, это требование соблюсти гораздо проще, чем перенести базы данных на территорию России. Однако здесь есть другая проблема: не каждый оператор персональных данных (а тем более, если он — физическое лицо) понимает и знает, что он является оператором. Но, как известно, незнание не освобождает от ответственности.

Если у вас есть сайт с формой регистрации или, скажем, обратной связи, — вы являетесь оператором персональных данных. А значит, вам необходимо подготовить документ (пользовательское соглашение, согласие на обработку персональных данных, договор, политику конфиденциальности — название не имеет значения), в котором будут прописаны условия обработки персональных данных пользователей (кто вы, какие данные и зачем собираете, как будете их обрабатывать и т.д.). Этот документ следует опубликовать на сайте в свободном доступе. После этого под каждой формой сбора персональных данных надо разместить поле, в котором посетитель сайта сможет оставить свое согласие.

Если вы — обычный пользователь, ведете в сети личный блог, где читатели могут зарегистрироваться (то есть оставить свои личные данные) и комментировать посты, то, с большой долей вероятности, вы — оператор персональных данных.

Не умеешь — научим, не хочешь — заставим

Подведем итоги. Поправки в силу вступили. Но трагедии не произошло. Хоть закон и обязывает хранить и обрабатывать основную базу персональных данных наших граждан на территории России, выносить отдельные части и копии за рубеж — можно. А значит, повода для паники нет: российский бизнес, который хостится за границей, может продолжать сотрудничать с иностранными провайдерами.

Для того, чтобы получить согласие на обработку персональных данных, достаточно разового общения с квалифицированными юристами и составления соответствующего документа. На мой взгляд, задача вполне выполнимая.

Не стоит забывать и то, что закон “О персональных данных“ призван в первую очередь защищать права физических лиц, то есть — нас с вами.

Принятие поправок также показало: необходимо повышать общий уровень цифровой грамотности пользователей. Например, с помощью таких ликбезов.

Соседи тоже стараются

В мае будущего года в силу вступает европейский регламент, регулирующий обработку персональных данных. Документ более четко, нежели российский аналог, прописывает, что такое персональные данные: “имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица”.

Кроме того, в европейском законодательстве прописаны схожие с российскими нормы обработки персональных данных, которые касаются вероисповедания, интимной жизни, политических взглядов и проч. — работать с ними разрешается только с отдельного согласия субъекта.

Источник: https://vc.ru/flood/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut

Закон о защите персональных данных для владельцев сайтов

Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все. 

Кратко о законе

Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево. 

Негативных примеров того, как обращаются с личной информацией – масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств. 

Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация – чем выше за нее ответственность. 

Основные определения

Персональные данные (ПД) – информация, которая определяет физическое лицо. Например: 

  • фамилия, имя, отчество,
  • год, месяц и дата рождения,
  • адрес,
  • социальное положение,
  • доходы,
  • телефон,
  • образование и т.д.

Оператор персональных данных – организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае – это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика». 

Субъект персональных данных – физлицо, которое передает личные данные оператору. 

Устаревшие и актуальные требования: будьте внимательны

При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД. 

Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с выходом Постановления Правительства 1119 от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ). 

УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает – так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления. 

По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее: 

1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119. 

2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного. 

Подробно изучить классификацию УЗ можно в блоге Андрея , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения. 

Уровней защищенности – четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает – сотрудников или клиентов. Разложим по полочкам. 

Актуальные угрозы:

1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе. 

3 уровень – все остальные менее значимые угрозы. 
Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД. 

Количество персональных данных

  • Больше или меньше 100 000 субъектов.

Тип персональных данных

  • Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных).
  • Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.).
  • Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ).
  • Другие.

Чьи персональные данные

В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов. 

Таблица. Определение уровня защищенности ИСПД (правые колонки)

Меры по защите персональных данных

Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты. 

Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях. 

Разделить меры можно на два вида: организационные и программно-технические. К первым относятся: 

  • классификация информационной системы,
  • выявление возможных угроз,
  • создание плана действий по защите данных и должностных инструкций,
  • утверждение перечня лиц, которые допущены к обработке ПД.

К программно-техническим можно отнести:

  • проверку оборудования,
  • установку сертифицированных антивирусов, сетевых экранов и криптографических средств,
  • налаживание системы разграничения доступа, регистрации и учета,
  • использование средств защиты от утечек информации по различным каналам.

Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс – то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей. 

Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности. 

Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий). 

Что нужно для работы сайта

Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных. 

Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные. 

Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера nic.ru, сервиса онлайн-дневников dnevnik.ru и компании «ОнЛайн Защита»

Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко. 

Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса. 

Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется. 

Основные части оферты

В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше. 

Если вашим сервисом могут воспользоваться несовершеннолетние – внесите пункты, что требуется согласие родителей или опекунов. 

Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям. 

Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных. 

Опишите, какие данные и с какой целью предоставляет пользователь. 

Итого

Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google. 

Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как оператора. 

Источник: https://prograbli.ru/techno_experience/The_law_on_the_protection_of_personal_data_on_the_site_the_basics/