Федеральный закон о защите персональных данных 152: Статья 7. Конфиденциальность персональных данных \ КонсультантПлюс

Разное 

Что дает обычному человеку Федеральный Закон №152 О персональных данных? / Хабр

Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.

Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.

Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.

*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.

Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.

**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.

***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.
Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.

Просто и доступно о 152 ФЗ, регламентирующим обработку персональных данных

Общие ПДн

Базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие. Как правило, эти данные известны широкому кругу лиц и именно их чаще всего запрашивают веб-ресурсы.

 

Специальные ПДн

Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.

 

Биометрические ПДн

Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.

 

Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.

 

Иные ПДн

К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.

 

Определив категории ПДн, с которыми вы работаете, можно определить и требуемую ФЗ-152 степень их защиты.

 

Иерархия в данном случае выглядит следующим образом – от меньшей степени защиты к большей:

 

·      Общедоступные – известны широкому кругу лиц, слабая защита.

·      Иные – известны меньшему количеству людей, требуют чуть большей защиты.

·      Биометрические данные – используются для идентификации личности, требуют серьезной защиты.

 

·      Специальные данные – при утечке могут нанести вред человеку, требуют самой высокой степени защиты.

 

Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.

 

 

Требуемые уровни защиты ПДн 

Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице

Рассмотрим все параметры этой таблицы:
 

  • Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
  • Типы актуальных угроз:
    • 1 тип — не теоретические, связанные с возможностями уязвимостей в системном программном обеспечении, например, в операционной системе, гипервизоре.
    • 2 тип — угрозы средней уязвимости, связанные со слабыми местами прикладного ПО, например, в установленных программах, базах данных.
    • 3 тип — угрозы, не связанные с ПО, например, уязвимости в физическом оборудовании.

 

Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.

 

УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия. 

 

Выбираем путь к соблюдению закона о Персональных данных

Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК.

 

Вы спокойно можете выбрать провайдера, чьи серверы расположены на территории РФ, и доверить ему свою ИТ-инфраструктуру.  Этого будет полностью достаточно, чтобы соблюдать требования 152-ФЗ в части ИТ инфраструктуры и не опасаться санкций и огромных штрафов!

 

Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе». 

 

Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.

 

 

Группа компаний Rusonyx – ваш надёжный партнёр

Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro.  Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.

Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.

Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.

Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.

 

Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.

Как защитить персональные данные и соблюдать ФЗ №152

В последние годы проблема защиты персональных данных стала чрезвычайно актуальной. Миллионы людей по всему миру пользуются социальными сетями, СМИ и платформами электронной коммерции, где оставляют свою личную информацию. К сожалению, утечки персональных данных случаются достаточно часто — буквально каждый месяц мы читаем о том, как из социальной сети, интернет-магазина или банка исчезла информация о пользователе.

Предприятия любого размера должны заранее тщательно организовать защиту персональных данных клиентов или сотрудников, так как риски высоки. В случае утечки ПД помимо репутационных проблем вы также получите огромные штрафы. В этой статье мы обсуждаем, как избежать этих рисков, и как организовать сбор и хранение персональных данных в соответствии с законом.

Что такое персональные данные согласно ФЗ №152

Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Он делится на три группы:

Общий : имя и фамилия, дата рождения, образование, паспортные данные и т.д.

Специальный : национальность, раса, политические и религиозные взгляды, состояние здоровья.

Биометрический : рост, вес, отпечатки пальцев, фото и видео.

Если возможно определить человека, данные становятся персональными. Например, только имя или никнейм не могут считаться личными данными. Когда два разных человека с одним и тем же именем делают заказ на вашем веб-сайте, вы можете идентифицировать человека только по дополнительной информации, такой как номер телефона или дата рождения.

Являюсь ли я оператором персональных данных?

Организации и лица, осуществляющие сбор, хранение и обработку ПДн, являются операторами персональных данных . Как определить, является ли компания оператором? Вот несколько примеров:

  • Ваш сайт позволяет регистрировать пользователей (даже с минимальными данными «имя + e-mail») — форумы, социальные сети, блоги, рекламные сайты и т. д.

  • Ваш веб-сайт позволяет пользователям вводить свои личные данные в формы. Например, если на сайте есть функция «перезвони мне», возможность отправить быстрый заказ или подписаться на рассылку и т. д.

  • Ваша компания (юридическое лицо или индивидуальный предприниматель) ведет постоянную обработку персональных данных граждан. Это касается туристических агентств, юридических фирм, банков и других финансовых компаний, которые работают с гражданами; магазины и салоны красоты, предлагающие именные клубные карты.

  • Ваша компания использует CRM.

Обработка персональных данных — любые манипуляции с персональными данными клиента: внесение имени посетителя в базу данных, обновление номера телефона клиента и т. д. Каждое лицо, которое что-либо делает с данными, является обработчиком.

Как правильно собирать личные данные и не попасть под штраф

При сборе персональных данных ваших посетителей не забудьте получить их согласие. Это может быть документ, подписанный лично клиентом, или галочка в поле «Согласен на обработку моих персональных данных» на вашем сайте. Вы должны информировать пользователей, почему вы собираете личные данные и что вы будете с ними делать.

Кроме того, будьте внимательны, какие данные вы собираете — компании могут запрашивать только те персональные данные, которые необходимы для продажи продукта или услуги. Например, вам не нужны паспортные данные покупателя для доставки товара из вашего интернет-магазина.

Оператор данных также обязан:

  • для обеспечения конфиденциальности данных

  • ответить на все вопросы клиента относительно его персональных данных

  • удалить персональные данные по истечении времени обработки.

Чтобы свести к минимуму риск кибер-утечек, личные данные должны быть удалены в течение 30 дней после того, как клиент получил услугу. Если вы хотите в дальнейшем взаимодействовать с клиентом, например, информировать об акциях, то вы можете запросить постоянное согласие на обработку и хранение его персональных данных. Помните, если вы оказываете услуги или продаете товары для граждан России, ваша личная база данных должна храниться на сервере, расположенном на территории России.


Изменение политики — DPA

Прогресс

Текущий состояние

В силе

01 сентября 2022 года. на рассмотрении

Область применения

Исполнители

Россия

Область политики

Управление данными

Инструмент политики

Положение о защите данных

Регулируемая экономическая деятельность

сквозная

Государственная власть

законодательная власть

Государственный орган

парламент

Уровень реализации

национальный

3 Хронология событий 400893 01 сен 2022

в силе

Внедрена поправка к Закону № 152 о персональных данных, включая положение о защите данных.

С 1 сентября 2022 года вступает в силу Поправка к Закону № 152 (Законопроект № 101234-8), вводящая новые требования к защите персональных данных. В частности, операторы персональных данных не смогут отказывать в обслуживании гражданам, отказывающимся от предоставления…

Источник

Тип события закон

Тип действия реализация

Правительственный орган законодательный орган

Государственный орган парламент

14 июля 2022 г.

в льготный период

Вступление в силу поправки к Закону № 152 о персональных данных, включая положение о защите данных

14 июля 2022 года в «Ведомостях» была опубликована поправка к Закону № 152 (законопроект № 101234-8) после подписания Президентом РФ, вводящая новые требования к защите персональных данных. В частности, операторы персональных данных не будут…

Источник

Тип события закон

Тип действия действует с льготным периодом

Орган государственной власти законодательный орган

Государственный орган парламент

08 июля 2022 г.

принят

Принятие поправки к Закону № 152 о персональных данных, включая положение о защите данных

8 июля 2022 года Совет Федерации Российской Федерации принял Поправку к Закону № 152 (Законопроект № 101234-8). В частности, операторы персональных данных не смогут отказывать в обслуживании гражданам, отказывающимся предоставлять персональные данные, в частности…

Источник

Тип события закон

Тип действия усыновление

Правительственный орган законодательный орган

Государственный орган парламент

06 июл 2022

на рассмотрении

Приняты изменения в Закон № 152-ФЗ «О персональных данных», в том числе положение о защите персональных данных

6 июля 2022 года Государственная Дума России приняла поправку к Закону № 152-ФЗ «О персональных данных» — Закон об усилении защиты персональных данных россиян, которым вводятся дополнительные правила защиты персональных данных.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *