Дата написания: 2013-11-11

Довольно часто работая с различными документами сталкиваешься с таким правовым понятием как "персональные данные". Этот юридический термин в последнее время у многих на слуху. Сегодня подписывая всевозможные договоры с разными организациями (банки, страховые компании, интернет провайдеры и т.д.) вам наверное ни раз предлагали помимо договора подписать к нему и некое соглашение об использовании (обработке) ваших персональных данных. Правда иногда это соглашение может присутствовать в самом тексте договора, но суть от этого не меняется. Что же собой представляют эти "персональные данные"? Какова их ценность? В чем заключается их защита? Об этом и пойдет речь в настоящей статье, которая адресована преимущественно субъектам персональных данных (лицам, чьи персональные данные обрабатываются). Эта статья вводная, ориентированная в большей степени на понимание "природы" персональных данных и принципов заложенных в законодательстве.

Как известно, каждый гражданин в нашей стране имеет право на личную жизнь. При этом государство гарантирует (по крайней мере на бумаге) неприкосновенность ее и защиту. Так согласно основному закону страны (ст.ст. 23, 24 Конституции РФ)

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени...
Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституционное право на защиту частной жизни гражданина незыблемо в современном понимании права и имеет место быть в подавляющем большинстве демократических государств. Но что собственно это такое, с юридически точки зрения, "частная жизнь"?

Обозначая свою правовую позицию по данному вопросу Конституционный Суд РФ в своем Определении от 09.06.2005 N 248-О разъясняет, с точки зрения основного закона, что из себя представляет право на неприкосновенность частной жизни: "это предоставленная человеку и гарантированная государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер."

Так вот, именно для обеспечения защиты и реализации неприкосновенности частной жизни, в законодательство была введена некая юридическая конструкция - "персональные данные", которая призвана была защитить некие данные относящиеся к "определенной персоне". Эти "данные" с этого момента (по замыслу законодателя) перестают быть свободными в обращении, на них накладывается специальный юридический режим, суть которого заключается в использование этих данных третьими лицами только в строго определенном законом порядке. Неприкосновенность частной жизни и персональные данные всегда неразрывно связаны между собой. В мировой практике эта правовая конструкция (персональные данные) известна давно и используется очень широко, особенно в век информационных технологий. Например: в США приняты Федеральный закон о свободе информации 1966 г. (существенно дополненный в 1974 г)., и Федеральный закон о защите частной жизни 1974 г. Кроме этого, в 1972 г. в США была создана специальная комиссия по изучению влияния компьютерных технологий на приватность, по результатам которой принят билль о правах в компьютерную эпоху, получивший название "Кодекс справедливого использования информации". В основе этого биля было пять основных принципов:

1. Не должно быть систем, накапливающих персональную информацию, сам факт существования которых является секретом;
2. Каждый человек должен иметь возможность контролировать, какая информация о нем хранится в системе и каким образом она используется;
3. Каждый человек должен иметь возможность не допустить использования информации, собранной о нем для одной цели, с другой целью;
4. Каждый человек должен иметь возможность скорректировать информацию о самом себе;
5. Каждая организация, занимающаяся созданием, сопровождением, использованием или распространением массивов информации, содержащих персональные данные, должна обеспечить использование этих данных только в тех целях, для которых они собраны, и принять меры против их использования не по назначению.

После этого большинство стран Европы в течение нескольких лет приняли подобные законы, в основе которых были применены выработанные Соединенными Штатами принципы (Французский Закон об информатике, картотеках и свободах 1978 г., Закон о защите данных в Великобретании 1984 г., Федеральный закон о защите персональных данных в ФРГ 1990 г. и т.д.). Помимо этого, были сделаны серьезные шаги и в международном праве. В 1981 г. в Страсбурге была подписана Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных (далее Конвенция). Россия ратифицировала Конвенцию в 2005 году.

Согласно положениям этой Конвенции персональные данные, проходящие автоматическую обработку:

• должны быть получены и обработаны добросовестным и законным образом;
• должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
• должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
• должны быть точными и в случае необходимости обновляться;
• должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

В связи с тем, что Россия стала участницей данной Конвенции, и развивая положения установленные Конституцией РФ, был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее Закон о персональных данных).

Согласно ст. 3 Закона о персональных данных

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Таким образом, персональные данные это прежде всего информация . В свою очередь, информация - это сведения (сообщения, данные) независимо от формы их представления (Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Далее, согласно закону данная информация должна относиться к конкретному лицу (определенному или определяемому физическому лицу ), т.е. субъектом персональных данных может быть только физическое лицо. Все это вполне укладывается в рамки ст. 2 Конвенции, согласно чему персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Обычно к персональным данным относят такие сведения о лице как паспортные данные, ИНН, СНИЛС, ФИО, адрес места жительства, медицинская карта, телефонный номер и др. сведения, подпадающие под определение, приведенное в ст. 3 Закона о персональных данных. Важно понять одно, что с принятием Закона о персональных данных сведения о лице, подпадающие под определения "персональных данных", могут использоваться (обрабатываться) третьими лицами, за некоторым исключением, только с его согласия, и только в строго определенном порядке. Вот почему в последнее время подписывая какой-либо договор, в дополнение к нему, просят подписать также и согласие на обработку персональных данных, т.к. без этого сделать что-либо с этими данными, не нарушая Закон о персональных данных, будет проблематично.

В зависимости от "важности" персональных данных их принято делить на четыре категории

• категория 4 - обезличенные и (или) общедоступные персональные данные
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Практический смысл этой классификации заключается в том, что чем "меньше" категория, тем более жесткие требования предусмотрены законодательством в отношении обработки и хранения персональных данных. Например, 4 категория самая "простая", требования к хранению и обработке этой информации - минимальны.

Лица обрабатывающие персональные данные называются операторами. Согласно ст. 3. Закона о персональных данных оператор это

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Принципы которых должен придерживаться оператор при обработке персональных данных, помимо вышеуказанных из Конвенции, отражены в ст. 5 Закона о персональных данных. Основная идея заложенная законодателем заключается в том, что оператор при обработке персональных данных должен прежде всего четко определить: объем обрабатываемых персональных данных их содержание и цель обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. На этом и базируется в целом Закон о защите персональных данных.

Основной контроль и надзор за обработкой персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Так как обработка персональных данных строго регламентирована, какие персональные данные имеет право обрабатывать тот или иной оператор можно узнать из реестра операторов, осуществляющих обработку персональных данных . В реестре приведен перечень сведений (персональных данных), которые оператор имеет право обрабатывать. Правда стоит отметить, что на сегодня не все операторы пока подали в Роскомнадзор соответствующие уведомления, что в принципе само по себе уже говорит о недобросовестности того или иного оператора в сфере обработки им персональных данных.

Будьте внимательны подписывая данное соглашение (соглашение об обработке персональных данных). Ознакомьтесь с ним, обратите внимание на срок, в течение которого оператор имеет право осуществлять обработку. Перечень информации (персональных данных) полученной от вас должен укладываться в рамки перечня, представленного оператором в Роскомнадзор, а также соответствовать целям обработки. В любом случае помните, что предоставив когда-либо оператору согласие на обработку персональных данных, субъект персональных данных, вправе также его и отозвать при необходимости. И оператор, получив такой отзыв, уже не вправе (за некоторыми исключениями, указанных в законе) будет осуществлять обработку ваших персональных данных. Это очень важный момент, который в некоторой степени защищает интересы субъекта персональных данных. Ведь штрафы за нарушения в сфере защиты персональных данных довольно высоки, и операторам, как ни странно, здесь выгоднее соблюсти закон нежели его нарушить.

Подведем итоги.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные вправе обрабатывать только специальные субъекты права - операторы. Оператор при обработке персональных данных должен определить объем обрабатываемых персональных данных их содержание и цель обработки.

Перечень обрабатываемой информации, заявленной оператором в Роскомнадзор можно посмотреть на сайте федеральной службы.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

В современном мире, подписывая договоры на обслуживание или о взаимодействии, часто встречают такое понятие, как "персональные данные". Что под ними понимают? Какие данные являются персональными и не должны предаваться огласке? Как обеспечивается их защита от посторонних лиц?

Развитие вопроса

Первоначально про персональные данные, а также их безопасность заговорил в 1976 году комитет министров Совета Европы. Тогда им было принято решение разработать соответствующую конвенцию. В 1981 году она под названием «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне» была открыта для подписания. Российская Федерация присоединилась к этой конвенции и ратифицировала её только в начале нулевых годов. После этого был запущен процесс формирования необходимой нормативно-законодательной базы про сферу использования и защиты персональных данных. База для него была принята Государственной думой в 2006 году. Итак, что относится к персональным данным физического лица?

О законодательстве

Прежде чем рассматривать, что относится к персональным данным физического лица, давайте уделим внимание правовому основанию этого аспекта взаимодействий. В качестве базового закона используется № 152-ФЗ, принятый в 2006 году. В нём регламентированы все вопросы, что касаются получения, использования, передачи, а также других действий, которые могут проводиться с персональными данными. Там же рассмотрена и их защита. Что подразумевают под персональными данными? Под этим понимают любую информацию, относящуюся к определенному физическому лицу, а также помогает прямо или косвенно установить его личность. Наиболее часто встречаемыми являются фамилия, имя, отчество, дата рождения, адрес регистрации (и местожительства, если они различаются), семейное, социальное, имущественное положение и тому подобное. Если интересует полный перечень того, что относится к персональным данным физического лица, то необходимо обращаться непосредственно к закону. Из-за его большого размера (хватит на книгу) в статье будут приведены только наиболее важные и часто встречаемые моменты.

Деление на категории

В зависимости от степени информативности выделяют:

1. Первый вид. В эти персональные данные включается информация о здоровье, интимной жизни, философских убеждениях.
2. Второй вид. Это информация, по которой можно идентифицировать человека и в дальнейшем получить о нём дополнительные сведения. В качестве примера можно привести Ф.И.О., адрес проживания, сведения о заработной плате.
3. Третий вид. Это информация, которая позволяет только определить субъект. Например - имя, фамилия, дата рождения.
4. Четвертый вид. Это общедоступные и обезличенные персональные данные. В качестве примера для первого случая можно привести декларации о доходах представителей власти. Обезличенная информация - это та, по которой нельзя идентифицировать определённое лицо.

Вот что относится к персональным данным физического лица.

Необходимость следить за нововведениями

Так уж устроено законодательство, что оно действует тогда, когда человек знает о нём. Это относится исключительно к защите своих прав. Некоторые категории людей должны постоянно следить за своими персональными данными, ведь то, что вчера было вполне нормальным и допустимым, уже сегодня оказывается за гранью закона. В качестве примера можно привести ситуацию с бизнесом. Так, если на предприятии есть хотя бы один работник или клиент, являющийся физическим лицом, то законодательство накладывает серьезные обязательства. Так, необходимо, чтобы при обработке информации была соблюдена конфиденциальность. Персональные данные работника не должны попасть в руки сторонних лиц или организаций. Для того чтобы идентифицировать человека, достаточно знать его Ф.И.О. и любую иную информацию личности, например, адрес проживания, дату рождения, номер телефона. Поэтому чтобы персональные данные работника не попали не в те руки и за этим не последовали штрафы и прочее, к вопросу безопасности следует подойти основательно.

Как быть?

Значит, нужно продумывать, кто может иметь доступ и в каком объёме. Например, номер телефона и дата рождения - это сочетание, которое не признаётся персональными данными. Почему? Да хотя бы потому, что идентифицировать по ним конкретное лицо не представляется возможным. Конечно, если необходимо по определённым соображениям получить доступ, то специальные органы могут проигнорировать закон «О защите персональных данных», получить телефон, в судебном порядке от оператора связи взять данные о перемещении и узнать, где был какой-то человек. Но это маловероятный сценарий, который встречается как исключение. А так, безусловно, телефон относится к персональным данным физического лица, только в случае, если о человеке известно что-то существенное, то же Ф.И.О.

Об операторах данных

Практически в любой организации накапливается, хранится и определённым образом используется личная информация. Поэтому хочется им или нет, но с точки зрения закона они являются операторами персональных данных. Что необходимо делать в таком случае? Ведь нужна защита персональных данных? Как соблюсти требования закона? А нужно:

1. Получить согласие со стороны физического лица на обработку персональных данных.
2. Обеспечить безопасность при работе с личной информацией.
3. Установить ответственность за нарушение законодательства.

При этом необходимо позаботиться о базах персональных данных и людях, которым предоставлен доступ к ним. Давайте рассмотрим внимательнее каждый пункт.

Согласие

Необходимо запомнить, что субъект персональных данных - это физическое лицо. И без его разрешения (или со стороны суда в определённых моментах) они не должны попасть в руки третьих лиц, пускай это даже рядовой кадровый сотрудник предприятия. Любые операции с информацией допускаются только при наличии согласия. Особенно много проблем в связи с этим возникло у кадровых агентств. Ведь им сейчас формально запрещено пользоваться доступными открытыми базами данных, которые можно найти в Мировой сети, поскольку они не получали от потенциального работника согласие на использование их информации. Хотя, формально, получать письменное согласие на обработку не нужно. Но существует вероятность судебного спора, поэтому очень желательно, чтобы этот факт имел физическую форму в виде бумаги.

Безопасность обработки

Законодательством предусмотрено, что любой оператор персональных данных обязан принимать нужные технические и организационные меры, которые позволят защитить информацию от случайного или неправомерного доступа к ним посторонних лиц. Особенное внимание уделяется тому, что они могут быть изменены, уничтожены, блокированы, копированы, распространены или же с ними будут совершены иные неправомерные действия. Об этом говорится в первом пункте девятнадцатой статьи базового закона. Это довольно сложно организовать с финансовой и организационной точки зрения. Так, структура должна обеспечить защиту на основе выявленных угроз, а также зависимо от класса информационной системы, где хранятся данные. Также необходимо разработать регламенты работы и положения по защите обработки. Кроме документационной работы нужно работать над повышением квалификации сотрудников, которые занимаются данными. Не следует забывать и о требованиях к инженерно-технической безопасности помещения, где будет храниться информация. В целом необходимо признать, что эта система является чрезвычайно громоздкой и очень усложненной. Встречаются даже нарекания, что некоторые требования не нужны даже государству.

На что жалуемся?

В качестве первого примера можно вспомнить о требовании письменно уведомлять уполномоченный орган о желании осуществить обработку личной информации. При этом законодательно не установлена ответственность за нарушения. Можно вспомнить ещё и требование, согласно которому каждый субъект предпринимательской деятельности, отвечающий условиям оператора персональных данных, был внесён в соответствующий реестр. А это, как уже было подмечено выше, практически каждая организация. Есть сомнения даже относительно того, что такая громоздкая норма в полном объеме будет работать даже на крупных государственных предприятиях. А ведь субъекты экономической деятельности не только платят налоги и встречаются с административными барьерами, но и обязаны оплатить внедрение этой системы у себя. Что, конечно, не умаляет тот факт, что персональные данные должны быть защищены. Но и перегибов необходимо избегать.

Об ответственности

Правом контроля за исполнением закона обладает Роскомнадзор. Эта же служба и занимается проверками в данной сфере. Что же ждёт нарушителей? Законодательством предусмотрено привлечение к дисциплинарной, административной, гражданской и уголовной ответственности. Фактически же существует только одна практика. Это привлечение к административной ответственности. Так, законом предусмотрено, что должностное лицо, допустившее нарушение, может получить или предупреждение, или штраф до тысячи рублей. С организаций спрос больше - для них предусмотрены суммы от 5 000 до 10 000. Сложность организации хранения данных и одновременно незначительная ответственность вероятно приведут к известной ситуации - суровость законов компенсируется необязательностью исполнения. А это очень плохое положение дел, которое необходимо исправить.

Заключение

Вот и было рассмотрено, какая информация относится к персональным данным, как она защищается и какова ответственность за нарушения. Безусловно, это чрезвычайно важный вопрос. Но, увы, как это часто бывает, реализация неудовлетворительная. Законодательство и требования необходимо существенно дорабатывать. Безусловно, если мы говорим о банке, то здесь необходимо обеспечить высокий уровень безопасности. Но если говорить о предприятии, изготовляющем мебель, то нужно ли и здесь такое? Защищённое здание или его часть, допуск исключительно ответственных сотрудников? Нет, в этом случае с лихвой хватает кадровика, сейфа с личными данными (если он работает в общей комнате с другими людьми), выработанной схемы взаимоотношений и передачи информации, а также определённого уровня доступа. Именно поэтому и необходимо доработать существующее законодательство. Хотя, безусловно, уже хорошо то, что работа ведётся - просто нужно направить энергию в правильно русло. Что ж, будем надеяться, что со временем этот процесс станет более совершенным.

Все вопросы, связанные с персональными сведениями о частных лицах, регламентируются Федеральным законом № 152-ФЗ “О персональных данных”. Им определяется получение, хранение (систематизирование), обработка, использование и защита персональной информации, а также ее классификация. В этой обзорной статье мы дадим базовую информацию о персональных данных и о том что к ним относится.

Персональные данные – что это?

Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных).

Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме. При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного). Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта).

Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица . Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.

Виды персональных данных

Согласно вышеуказанному закону, все персональные данные (ПД) разделяются на 4 категории:

• общие;
• биометрические;
• специальные;
• общедоступные (либо обезличенные).

Самым значимым видом сведений о частном лице являются общие персональные данные – именно они несут основную информацию о человеке. К этому типу относят практически все данные личного характера – ФИО, данные паспорта, ИНН, образование, семейное положение, номер страхового пенсионного свидетельства, номер мобильного, домашнего или рабочего телефона, уровень дохода клиента, информация о трудовой занятости и прочее. Сведения общего характера чаще всего заполняются согласно предоставленным документам, но могут быть зафиксированы и со слов самого физического лица.

Согласие на получение общих персональных данных чаще всего необходимо предоставлять для обслуживания в кредитных организациях, у оператора сотовой связи, интернет провайдера и даже в розничных магазинах (например, для оформления дисконтной карты и последующего получения информации о различных скидках или акциях).

К биометрическим персональным данным в основном относят сведения, необходимые для проведения каких-либо медицинских процедур или установления личности человека по физиологическим параметрам. Это может быть группа крови, рост, вес, дактилоскопические данные, результаты анализов ДНК. В некоторых случая к биометрическим сведениям относят и фотографии частного лица. Исключение – фото и видео, полученные во время проведения публичных либо массовых мероприятий.

Согласие на обработку биометрической персональной информации чаще всего необходимо оформлять для проведения медицинского обследования или лечения.

Под специальными ПД понимается информация, которая говорит о расовой принадлежности частного лица, религиозных взглядах либо философских суждениях, о состоянии психологического и физического здоровья. Такие данные заполняются согласно медицинским справкам или со слов самого частного лица.

Информация специального характера может потребоваться при трудоустройстве на новое место работы или, например, при участии в политической деятельности.

Выделяется еще один вид персональных данных – сведения, которые являются изначально общедоступными или обезличенными , а, значит, не могут быть скрыты. К такому общедоступному типу персональной информации относится, например, доходы сотрудников государственных и муниципальных органов. Обезличенные же сведения не принадлежат какому-либо конкретному субъекту персональной информации и находятся в свободном для всех доступе.

Термины, нюансы и частые заблуждения - в материале от экспертов службы безопасности компании «Онланта » (входит в группу компаний ЛАНИТ).

В закладки

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.

Объясняем термины человеческим языком

Главный закон, который регулирует отношения, связанные с обработкой персональных данных - это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Первый термин, который требуется понимать, - персональные данные.

Что такое персональные данные

Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, - это тоже персональные данные?»

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье - персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение - это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработчик - это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

На самом деле, обработчик - это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

Задачка

У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

Правильный ответ - одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ - два.

1. Компания, в облаке которой размещена база данных интернет-магазина.
2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

Нюанс

В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами - это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

Методы защиты информации бывают разными.

• Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
• Техническими - c помощью специализированных средств защиты информации.
• Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

Пример

Одно из средств защиты информации - это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Да , если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да , если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да , если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров - это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да , если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях - там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Определяем категорию персональных данных

Поздравляем, вы - гордый обладатель звания «оператор персональных данных». Самое важное теперь - понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Категории персональных данных простыми словами:

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные - это данные из СМИ или интернета.

Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.

Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.

Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).

Персональные данные иных видов - сюда входят персональные данные, не вошедшие в указанные выше категории.

Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.

Категория, количество, тип угроз - уровень защиты

После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты - самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице .

Пример

Больница обрабатывает персональные данные своих пациентов - это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников - это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.

Например, всего их - до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.

Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

Немного про опасность утечек персональных данных

Зачем вообще так беспокоиться о защите персональных данных? Персональные данные - это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок - продажа деталей банковских карт; аккаунты в социальных сетях.

Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Требования по обработке персональных данных

А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

Но начните хотя бы с этого:

1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке .
2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных - это главный юридический документ, который подтверждает законность обработки персональных данных.
3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.

С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.

Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.

Эксперты службы безопасности компании «Онланта»

Неужели действительно могут быть проверки

Да, проверки могут быть от Роскомнадзора.

Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно .

Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.

Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.

Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.

Подготовка к любой из этих проверок - трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.

Штрафы, суды и другие ужасы

За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.

Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».

После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.

Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.

Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.

Худший сценарий - это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.

За прошедшие несколько лет в России самый громкий скандал был связан с блокировкой сайта LinkedIn, владельцев которого обвинили в обработке персональных данных граждан без их согласия на серверах, находящихся за пределами РФ. Также «нашумела» сервиса autonum.info.

Сколько мне это будет стоит денег и сил

Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.

Если решили обрабатывать персональные данные самостоятельно, потребуется:

1. Разобраться, какую категорию персональных данных вы обрабатываете и какие есть технические требования к их защите.
2. Своими силами или с помощью ИТ-компании разработать технические решения, подготовить закупки необходимого оборудования и программного обеспечения, установить его и внедрить.
3. Оформить все юридические документы. Разработать комплект внутренних документов: инструкций и регламентов.

На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей - это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы - отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.

Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.

В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».