Оператор обработки персональных данных это: Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Кто является оператором персональных данных и что относить к информационным системам персональных данных?

Автор — Л.В. Мирка Специалист по защите информации ООО «Контек-Софт» Думаю, на сегодняшний день каждый слышал о существовании Федерального закона № 152-ФЗ «О персональных данных».   Давайте сначала определимся, что же относится к персональным данным? В соответствии с 152-ФЗ, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Другими словами, к персональным данным следует относить информацию, позволяющую однозначно определить физическое лицо.  Например, Фамилия, Имя, Отчество субъекта сами по себе персональными данными являться не будут, так однозначно определить личность не позволяют (у человека могут быть полные тезки, особенно если фамилия очень распространенная). При этом Фамилия, Имя, Отчество субъекта плюс адрес прописки или дата рождения, вместе уже будут являться персональными данными. В соответствии со 152-ФЗ, Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, практически любая Организация независимо от организационно-правовой формы является оператором персональных данных. В некоторых Организациях обрабатываются только персональные данные собственных сотрудников. Целью такой обработки является выполнение функций работодателя. Состав персональных данных определяется в соответствии с трудовым законодательством. Действия, совершаемые с персональными данными, работодатель также может определить, как те которые он обязан совершать в соответствии с законодательством (например, передача-предоставление отчетности в налоговые органы, пенсионный фонд и т.д.), так и те которые работодатель определяет для себя сам (например, передача персональных данных в банк в целях начисления заработной платы или передача персональных данных в страховые фирмы для страхования жизни и здоровья сотрудников). Во многих организациях наряду с персональными данными сотрудников также обрабатываются персональные данные клиентов. Например, база клиентов, которым предоставляется услуга доступа в интернет; база пациентов, прикрепленных к медицинскому учреждению; в магазинах это может быть база клиентов – владельцев дисконтных карт и т. п. На любые действия с персональными данными, в том числе сбор и хранение, не регламентированные законодательством необходимо брать согласие субъекта на обработку его персональных данных. Обработка персональных данных может быть как автоматизированная (с помощью средств вычислительной техники), так и без использования средств автоматизации. При автоматизированной обработке персональные данные субъектов, содержащиеся в базах данных, в совокупности с технологиями и техническими средствами, обеспечивающими их обработку, образуют информационною систему персональных данных. Например, компьютер и персональные данные, которые обрабатываются в программе «1С: Предприятие», в программах, используемых для налоговой и пенсионной отчетности, либо просто в документах «MS Word», в совокупности будут составлять информационную систему персональных данных. Либо несколько компьютеров, на которых ведется обработка персональных данных несколькими сотрудниками в одной базе данных, расположенной на сервере, также будут составлять одну информационную систему. Когда все компьютеры в Организации объединены в общую локальную сеть, то лучше делить такую сеть на сегменты. Необходимо выделить те компьютеры, на которых ведется обработка персональных данных и которые соответственно необходимо защитить. Также полезным будет разделение по отдельным информационным системам в зависимости от целей обработки, состава персональных данных, допущенных сотрудников к обработке персональных данных в одной и той же базе. Таким информационным системам можно присвоить условное название, например, «Бухгалтерия», «Кадры», «Бухгалтерия и кадры». Если в информационной системе обрабатываются персональные данные только в одной базе данных, то ее можно назвать по названию соответствующей программы, работающей с данной базой. Например, информационная система персональных данных «Искус», в которой несколько отделов, каждый в своей части, ведут обработку персональных данных пациентов. В каждом отдельном случае к выделению информационных систем следует подходить индивидуально для удобства организации работы, упрощения системы защиты и снижения ее стоимости. Автор:Мирка Л.В.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье «Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017».

Правовой статус “обработчика” персональных данных в России и его отличие от оператора

Все, кто сталкивался с обработкой персональных данных (ПД) знаком с понятием Оператор. И в целом законодательство, а именно ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, дает достаточно емкое понятие термина Оператор.

На практике часто возникает ситуация, когда организация обрабатывает ПД, которые ей передал на обработку Оператор. Это может быть: ЦОД, который осуществляет хранение данных или, например, сервис рассылок email или sms сообщений, который действует по поручению онлайн-ритейлера.

Встает вопрос, кем является организация, получившая данные от Оператора, по отношению к субъекту ПД: тоже Оператор или же просто “Обработчик”, правовой статус которого в N 152-ФЗ не определен?

Пункты 3-5 ст. 6 N 152-ФЗ предусматривают возможность Операторов поручать обработку ПД третьим лицам. Эти третьи лица как раз и являются “Обработчиками”. 

Права и обязанности Обработчика сформулированы достаточно кратко: лицо обязано соблюдать принципы и правила обработки персональных данных выполнять требования Оператора.

Также, закон закрепляет, что

“Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных”.

Это ограничивает ответственность Обработчика: 

“В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором”.

Европейский GDPR четко выделяет два субъекта обработки ПД: Контроллер и Процессор, аналог российского Оператора и “Обработчика”. GDPR фиксирует правовой статус, права, обязанности и ответственность обоих субъектов обработки ПД.

В России же, изучая административную практику Роскомнадзора и Судебную практику, бросается в глаза, что третьих лиц, занимающихся обработкой, еще ни разу не назвали “Оператором”, но и как-то иначе, чем “третьи лица” они также не именуются.

Бывают ситуации, когда юридическое лицо поручает другому лицу собирать персональные данные и оказывать определенные услуги с использованием таких данных. При этом такое юридическое лицо считает, что оно не является Оператором, а факт того, что оно определяет цели обработки ПД, состав ПД, подлежащих обработке и действия (операции), совершаемые с ПД, его не сильно волнует. И при этом лицо, которому поручили собрать ПД и оказать с ними определенные услуги, также не является Оператором.

Встает вопрос о разграничении ответственности субъектов, обрабатывающих ПД. Также, нередко дискутируется необходимость уведомления РКН и включения в реестр третьих лиц, если они все такие не являются “Операторами”, но обрабатывают ПД по поручению.

Если у организации есть своя база ПД, собранная ей на своем сайте, и база ПД, полученная ей по договору с целью оказания услуг, неужели по отношению к обеим базам ПД она будет выступать Оператором?

Это далеко не единственная неопределенность ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, ответ на которую не может дать РКН.

Соглашение на обработку персональных данных

1. Общие положения

• Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
• Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

• законности и справедливости;
• добросовестности;
• в соответствии с выбранными и заранее определенными и законными целями;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• объем, характер и способы обработки персональных данных соответствуют целям их обработки;
• при обработке персональных данных обеспечивается точность, достаточность, а также актуальность в необходимых случаях по отношению к цели обработки персональных данных, в случае уточнения персональных данных или их удалении принимаются необходимые меры;
• хранение персональных данных в форме, позволяющей определить Пользователя, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижению целей обработки персональных данных или в случае утраты в их достижении.

2. Цели сбора персональных данных

• персональные данные иных Пользователей, в том числе посещающих сайт Оператора: http://detalburg.ru;
• выполнения обязательств Оператора перед Пользователями в отношении использования Сайта;
• проведение аудита, анализ данных и различных исследований в целях улучшения продуктов и услуг Оператора, а также в целях улучшения взаимодействия Оператора с Пользователями;
• Оператор может использовать персональные данные для отправки сообщений, содержащих информацию об изменениях положений, условий и политик Оператора. Так как данная информация необходима для взаимоотношений с Оператором, Пользователь не может отказаться от получения таких сообщений.

3. Сбор персональных данных.

• фамилия, имя, отчество;
• адрес электронной почты;

4. Хранение и использование персональных данных

5. Порядок уничтожение персональных данных.

• принять необходимые меры по уничтожению персональных данных в течение трех рабочих дней;
• уведомить Пользователя, либо его законного представителя, либо орган, в случае необходимости об уничтожении персональных данных.

• при отзыве Пользователя согласия на обработку персональных данных;
• при удалении Оператором информации, размещаемой Пользователем, в случае, если это установлено гражданско-правовым договором.

6. Передача персональных данных

7. Отзыв согласия на обработку персональных данных

8. Обязательства сторон

• предоставить информацию о персональных данных, необходимую для пользования Сайтом;
• в случае изменения данной информации обновить или дополнить предоставленную информацию о персональных данных.

• полученные персональные данные использовать исключительно для целей, указанных в разделе 2 настоящего Положения;
• обеспечить хранение, использование, передачу персональных данных. в случаях установленных законодательством РФ;
• принимать меры по защите персональных данных;
• блокировать и уничтожать персональные данные с момента обращения Пользователя, в сроки, установленные настоящим Положением.

9. Ответственность сторон и порядок разрешения споров

10. Идентификационные файлы (cookies)

11. Защита персональных данных.

• назначены ответственные лица за организацию обработки, хранения, уничтожения и обеспечения безопасности персональных данных;
• ответственность за невыполнение требований норм, регулирующих обработку и защиту персональных данных определяется в соответствии с законодательством Российской Федерации;
• обеспечено хранение персональных данных, обработка которых осуществляется в соответствии с целями, указанными в разделе 2 настоящего Положения;

• предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные;
• резервирование и восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• иные меры безопасности.

12. Конфиденциальность

13. Заключительные положения.

Сроки обработки персональных данных — RPPA

Определение срока обработки персональных данных является важным элементом системы защиты прав и свобод человека и гражданина, а также позволяет операторам избежать обработки избыточного объема данных, сокращая финансовые и иные затраты. Для получения представления о порядке и особенностях определения сроков обработки необходимо рассмотреть как нормы российского законодательства, определяющего сроки обработки персональных данных, так и зарубежный опыт в обозначенной сфере.

В п. 3 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) определено, что обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В данном определении законодатель, путем внесения в перечень действий пункта «уничтожение персональных данных», заложил возможность ограничения временного периода обработки персональных данных. Указанное ограничение дополнительно оговорено посредством ч. 7 ст. 5 152-ФЗ, где один из этапов обработки персональных данных – хранение – должен осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Продолжительность других этапов обработки персональных данных также зависит от целей и особенностей обработки, от разнообразия категорий субъектов персональных данных, от количества и структуры информационных систем персональных данных, и от других факторов.

Законодательство (п. 6 ч. 7 ст. 14 152-ФЗ) закрепляет за субъектом персональных данных право на получение информации, касающейся сроков обработки персональных данных, в том числе сроков их хранения, при обращении к оператору или при получении запроса от оператора. В законом установленных случаях оператор обязан направлять в уполномоченный орган по защите прав субъектов персональных данных (в настоящее время уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) уведомление о своем намерении осуществлять обработку персональных данных, в котором оператор обязан указать срок или условие прекращения обработки персональных данных. 152-ФЗ в п. 1 ч. 3 ст. 23 устанавливает, что Уполномоченный орган имеет право запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. Уполномоченный орган может воспользоваться этим правомочием, в том числе, и при возникновении необходимости выяснить сроки обработки персональных данных операторами, не направившими в Уполномоченный орган уведомления о намерении осуществлять обработку.

Согласно ч. 1 ст. 14 № 152-ФЗ субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Уполномоченный орган в целях защиты прав субъектов персональных данных и соблюдения законодательства в сфере обработки и защиты персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных, а также принимать в установленном законодательством порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона (п.п. 3, 4 ч. 3 ст. 23 № 152-ФЗ).

Сроки обработки персональных данных, в том числе сроки их хранения, могут быть установлены как по решению самого оператора, так и путем закрепления в соответствующем нормативном правовом акте. В первом случае оператору следует закрепить в локальном нормативном акте (например, в Положении о персональных данных) срок или условие прекращения обработки персональных данных в отношении каждого из существующих перечней персональных данных, обрабатываемых и защищаемых оператором. Во втором случае операторам необходимо будет следовать нормативным правовым актам, императивно устанавливающим срок или условие прекращения обработки. Например, постановление Правительства РФ от 16 октября 2003 г. № 630 «О Едином государственном реестре индивидуальных предпринимателей, Правилах хранения в единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы…» обязывает органы, осуществляющие государственную регистрацию юридических лиц и индивидуальных предпринимателей, хранить регистрационные дела юридических лиц и индивидуальных предпринимателей, прекративших свою деятельность, в течение 15 лет с даты внесения соответствующих записей в государственные реестры. Аналогичные нормы существуют и в других нормативных актах. В большинстве случаев срок хранения персональных данных варьируется в пределах от 3 до 75 лет, но возможно и постоянное (бессрочное) хранение персональных данных: например, если материальный носитель с зафиксированными на нем персональными данными получает статус документа Архивного фонда Российской Федерации и, в соответствии с законодательством об Архивном деле, подлежит постоянному хранению.

Исходя из всего вышесказанного, представляется возможным сделать следующие выводы:

1. По общему правилу срок обработки персональных данных императивно не установлен. Следовательно, определение срока обработки относится к компетенции оператора, за исключением случаев, прямо установленных в законодательстве;

2. Срок обработки непосредственно связан с достижением или с утратой необходимости достижения оператором целей обработки;

3. Субъекты и Уполномоченный орган имеют право на получение информации от оператора, касающейся срока обработки персональных данных, в том числе срока их хранения;

4. Срок обработки, при определенных законодательством условиях, может быть изменен по требованию субъектов персональных данных или по требованию Уполномоченного органа.

Зарубежное законодательство в сфере персональных данных, также как и российское, не конкретизирует порядок определения и длительность сроков обработки персональных данных. Принцип хранения персональных данных, проходящих автоматическую обработку, в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются, последовательно воплощается в следующих международных актах:

1. Конвенция ETS № 108 от 28 января 1981 года «О защите физических лиц при автоматизированной обработке персональных данных» – см. п. 5 ст. 5.

2. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» – см. п. «e» ч. 1 ст. 6.

3. Директива 2002/58/EC Европейского парламента и Совета Европейского Союза от 12 июля 2002 года «О конфиденциальности и электронных коммуникациях» – см. ч. 1 ст. 6.

Соответственно, определение срока обработки по общему правилу носит диспозитивный характер и производится операторами персональных данных самостоятельно. Законодательство европейских стран, большинство из которых подписали и ратифицировали Конвенцию ETS № 108, следует указанному принципу: например, ст. 6 Закона Французской Республики № 78-17 от 6 января 1978 г. «Об информатике, картотеках и свободах», ст. «6b» «Федерального закона о защите данных» ФРГ, принятого 11 мая 2001 г. и т.д. Аналогичный принцип закреплен и в законодательстве многих других стран, не являющихся участниками Конвенции ETS № 108.

Особый интерес представляет «Федеральный закон о защите личных сведений и электронных документов» Канады, принятый 13 апреля 2000 г., включивший в себя разработанный в 1995 г. Канадской ассоциацией по стандартизации «Модельный кодекс по защите персональных данных», где в пунктах 4.5 – 4.5.4 относительно подробно рассматриваются вопросы сроков обработки персональных данных операторами. Так, в п. 4.5 закреплен принцип соответствия срока обработки персональных данных заявленным целям обработки. Кроме того, Закон указывает операторам на необходимость определения минимальных и максимальных сроков хранения персональных данных, а также на возможность законодательного установления сроков хранения. Законодатель обращает внимание на обязанность операторов хранить те персональные данные, на основании которых принимаются решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Тем самым обеспечивается право субъектов персональных данных на доступ к подобным сведениям, длительность хранения которых на законодательном уровне не регламентируется. Закон предусматривает следующие способы прекращения обработки персональных данных: уничтожение, стирание и анонимизация. Операторы обязываются разработать и принять локальные нормативные акты, закрепляющие порядок прекращения обработки персональных данных, если она более не соответствует заявленным целям операторов.

Сложившуюся ситуацию в сфере определения и обоснования сроков обработки персональных данных операторами следует признать неудовлетворительной. К сожалению, многие операторы пренебрегают необходимостью четко опередить срок обработки и фактически устанавливают режим бессрочной обработки персональных данных, тем самым допуская нарушение действующего законодательства. Некоторые операторы, определяя срок или условие прекращения обработки, не производят соответствующего закрепления данных положений в локальном нормативном акте, что не способствует стабильности системы обработки персональных данных и может вызвать вопросы со стороны Уполномоченного органа.

Часто задаваемые вопросы — АльфаДок

Добрый день,

В информационном сообщении ФСТЭК России от 20 января 2020 г. N 240/24/250 говорится, что компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В соответствии с информационным сообщением, органам государственной власти и организациям, использующим для защиты информации версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 необходимо провести мероприятия по переходу на операционные системы, поддерживаемые их производителями.

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. 
При этом:
в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.
В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

В соответствии с приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса;
в информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Учитывая вышесказанное в информационных системах достаточно применение сертифицированных по требованиям безопасности информации средств защиты информации, и операционных систем, поддерживаемых их производителями. Применение сертифицированных по требованиям безопасности информации операционных систем необязательно.
 

Что такое контроллер данных или обработчик данных?

Ответ

Контроллер данных определяет цели , для которых, а означает , с помощью которых обрабатываются личные данные. Итак, если ваша компания / организация решает, «почему» и «как» следует обрабатывать персональные данные, это ее контролер. Сотрудники, обрабатывающие персональные данные в вашей организации, делают это для выполнения ваших задач в качестве контроллера данных.

Ваша компания / организация является совместным контролером , когда вместе с одной или несколькими организациями она совместно определяет, «почему» и «как» следует обрабатывать личные данные.Совместные контролеры должны заключить соглашение, определяющее их соответствующие обязанности по соблюдению правил GDPR. Основные аспекты соглашения должны быть доведены до сведения лиц, данные которых обрабатываются.

Обработчик данных обрабатывает только персональные данные от имени контролера . Обработчик данных обычно является третьей стороной, не входящей в компанию. Однако в случае групп предприятий одно предприятие может выступать в качестве обработчика для другого предприятия.

Обязанности обработчика по отношению к контролеру должны быть указаны в контракте или другом правовом акте. Например, в контракте должно быть указано, что происходит с личными данными после расторжения контракта. Типичным видом деятельности процессоров является предложение ИТ-решений, в том числе облачных хранилищ. Обработчик данных может передать часть своей задачи другому обработчику или назначить совместного обработчика только после получения предварительного письменного разрешения от контролера данных.

Бывают ситуации, когда объект может быть контроллером данных или обработчиком данных, или и тем, и другим.

Примеры

Контроллер и процессор

На пивоварне работает много сотрудников. Он подписывает контракт с зарплатной компанией на выплату заработной платы. Пивоварня сообщает компании по начислению заработной платы, когда должна быть выплачена заработная плата, когда сотрудник увольняется или ему повышается заработная плата, а также предоставляет все другие детали для ведомости заработной платы и выплаты. Компания по начислению заработной платы предоставляет ИТ-систему и хранит данные о сотрудниках. Пивоварня является контролером данных, а компания по начислению заработной платы — обработчиком данных.

Совместные контроллеры

Ваша компания / организация предлагает услуги няни через онлайн-платформу. В то же время ваша компания / организация имеет контракт с другой компанией, позволяющий вам предлагать услуги с добавленной стоимостью. Эти услуги включают в себя возможность для родителей не только выбрать няню, но и взять напрокат игры и DVD-диски, которые няня может принести. Обе компании участвуют в технической настройке веб-сайта. В этом случае две компании решили использовать платформу для обеих целей (услуги няни и прокат DVD / игр) и очень часто будут использовать имена клиентов.Таким образом, две компании являются совместными контролерами, потому что они не только соглашаются предложить возможность «комбинированных услуг», но также проектируют и используют общую платформу.

Список литературы

контроллеров и процессоров данных GDPR

Введение GDPR вызвало вопросы о том, являются ли определенные организации обычно контроллерами или обработчиками данных. Понимание разницы между контроллерами данных и обработчиками данных жизненно важно для соблюдения GDPR.

Что в GDPR говорится о контроллерах и процессорах?

С момента запуска GDPR в мае 2018 года у контроллеров есть определенные обязательства. Кроме того, переработчики несут собственные юридические обязательства. Это серьезное отличие от первоначального законодательства DPD 1995 года.

Согласно GDPR, ICO и другие надзорные органы могут привлекать к ответственности процессоров и контроллеров за любые нарушения. В GDPR существуют также особые требования к совместным контролерам.

В чем разница между контроллером и процессором?

Согласно GDPR, существует явная разница между «контроллером данных» и «обработчиком данных».

Регламент признает, что не все организации, участвующие в обработке персональных данных, несут одинаковый уровень ответственности. Определения контроллеров и процессоров согласно GDPR следующие:

Контроллер данных — Является юридическим или физическим лицом, агентством, государственным органом или любым другим органом, который самостоятельно или совместно с другими определяет цели любых личных данных и средства их обработки.

Обработчик данных — Является юридическим или физическим лицом, агентством, государственным органом или любым другим органом, который обрабатывает персональные данные от имени контроллера данных.

Если вы классифицируетесь как контроллер данных или обработчик данных, вы несете ответственность за соблюдение GDPR и демонстрацию соблюдения принципов защиты данных, установленных законом.

Обработчики данных не имеют такого же уровня ответственности за соблюдение GDPR.

Тем не менее, им по-прежнему следует принимать соответствующие организационные и технические меры для обеспечения того, чтобы любые обрабатываемые данные выполнялись в соответствии с GDPR.

Контроллеры данных

Контроллеры данных — ключевые лица, принимающие решения.Они имеют общее право голоса и контролируют причины и цели сбора данных, а также средства и методы любой обработки данных.

На некоторых контроллеров данных может распространяться установленное законом обязательство по сбору и обработке персональных данных. В соответствии с разделом 6 (2) Закона о защите данных 2018 года, если организация несет такое обязательство и обрабатывает персональные данные в целях соблюдения, она будет классифицироваться как контролер данных.

Контроллер данных может быть:

• Частная компания или любое другое юридическое лицо — Включая зарегистрированную ассоциацию, зарегистрированное товарищество или государственный орган.
• Физическое лицо — например, партнер в некорпоративном партнерстве, индивидуальный предприниматель или любой индивидуальный предприниматель.

Являются ли контроллеры данных некорпоративных организаций?

Организация не может иметь отдельного юридического лица, например, некорпоративные организации, такие как добровольные группы и спортивные клубы. В этом случае ответственная сторона должна ссылаться на документ, регулирующий управление этой организацией.

Этот документ должен включать подробную информацию о том, как такие организации должны управляться от имени своих членов. Ожидается, что они будут действовать как контролеры данных или как совместные контролеры данных.

Обязанности контроллера данных GDPR

несут ответственность за соблюдение самых строгих требований GDPR. В соответствии со статьей 24 GDPR , они должны активно демонстрировать полное соблюдение всех принципов защиты данных.

Они также несут ответственность за соблюдение GDPR любых процессоров, которые они могут использовать для обработки данных.

Они должны продемонстрировать справедливость, законность и прозрачность, точность, минимизацию данных, целостность и хранение, а также полную конфиденциальность личных данных.

В соответствии со статьей 24 GDPR, контролеры данных должны:

• Принимать во внимание цель, характер, контекст и объем любых действий по обработке данных.
• Учитывать вероятность любого серьезного риска для свобод и прав любых физических лиц.
• Принять соответствующие организационные и технические меры и меры безопасности, которые демонстрируют, что действия по обработке данных были выполнены в соответствии с регламентом GDPR.
• Пересмотрите и при необходимости обновите эти меры.

Контроллеры данных должны платить комиссию за защиту данных, которую взимает сотрудник по защите данных, при условии, что они не освобождены от этого.

Является ли ваша компания контролером данных?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация контроллером данных в соответствии с GDPR.

1. Решила ли ваша организация собирать и обрабатывать личные данные пользователей?
2. Ваша организация определила цель обработки данных?
3. Решила ли ваша организация, какие личные данные следует собирать?
4. Получит ли ваша организация коммерческую выгоду от обработки данных (помимо оплаты услуг диспетчера)?
5. Являются ли субъекты данных вашими собственными сотрудниками?
6. Приняла ли ваша организация решение относительно заинтересованных пользователей в рамках обработки или в связи с ней?
7. Правильно ли вы применяете профессиональное суждение при обработке личных данных?
8. Имеете ли вы прямую связь с субъектами данных?
9. Вы несете полную ответственность за обработку данных?
10. Привлекали ли вы к аутсорсингу обработчиков данных для обработки данных?

Совместные контроллеры

Статья 26 (1) GDPR гласит, что контроллеры данных могут определять цели и средства обработки данных индивидуально или совместно с другой стороной в качестве совместных контроллеров данных.

Согласно GDPR, совместные контролеры имеют общую цель и согласовывают цель и средства обработки данных вместе. Однако это не применимо, если одни и те же данные используются по разным причинам.

Является ли ваша компания совместным контролером?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация совместным контролером в соответствии с GDPR:

1. Есть ли у вас общая цель с другими компаниями в отношении обработки данных?
2. Обрабатываете ли вы данные по той же причине, что и другой контролер данных?
3. Используете ли вы для обработки тот же набор персональных данных, что и другой контролер данных? Например, это может означать использование одной и той же базы данных.
4. Планируете ли вы обработку данных с другим контроллером данных?

Обязанности совместных контроллеров данных GDPR

Совместные диспетчеры должны определить между собой, кто берет на себя основную ответственность. Они несут равную ответственность за любые нарушения безопасности, и любые штрафы будут разделены соответственно.

Примеры контроллеров данных

Пример 1

Кабинет врача использует автоматизированную компьютерную систему в зоне ожидания, чтобы сообщить пациентам, когда им следует пройти в кабинет.

Автоматизированная система работает с использованием цифрового экрана, на котором отображается имя пациента и номер кабинета. Он также может использовать громкоговоритель для любых пациентов с ослабленным зрением, чтобы объявить эту информацию.

Кабинет врача будет контроллером персональных данных, обрабатываемых в связи с этой системой уведомления, поскольку он контролирует цели и средства обработки данных.

Пример 2

Фирма нанимает бухгалтера для ведения бухгалтерского учета.Действуя от имени своего клиента, бухгалтер классифицируется как контроллер данных в отношении любых личных данных, включенных в учетные записи.

Это связано с тем, что бухгалтеры и другие поставщики профессиональных услуг должны работать в соответствии с определенными профессиональными стандартами и нести ответственность за любые личные данные, которые они нанимают для обработки.

Например, если бухгалтер обнаружит некоторую злоупотребление служебным положением при заполнении счетов фирмы, он может ожидать, что он сообщит об этой злоупотреблении служебным положением в полицию или другие органы.

Если они будут вынуждены предпринять это действие, они больше не будут действовать в соответствии с инструкциями своего клиента, а будут действовать в соответствии со своими собственными профессиональными обязательствами и, следовательно, в качестве контролера данных в своем собственном праве.

Специализированные поставщики услуг, которые обрабатывают данные в соответствии со своими профессиональными обязанностями, всегда будут действовать как контролеры данных. По этой причине им не разрешается передавать или делиться обязательствами контроллера данных со своим клиентом.

Процессоры данных

Обработчиком данных может быть компания, любое другое юридическое или физическое лицо. Несмотря на то, что обработчики данных принимают свои собственные операционные решения, они будут действовать от имени и под руководством соответствующего контролера данных.

В соответствии со статьей 29 GDPR обработчик данных должен обрабатывать персональные данные только в соответствии с инструкциями контроллера данных, если это не требуется по закону.

Индивидуальные пользователи могут подавать иски о компенсации и возмещении ущерба как контроллерам данных, так и обработчикам данных.Если обработчик данных нарушит инструкции контроллера данных, он будет нести ответственность за любые утечки данных. Таким образом, обработчики данных всегда должны обеспечивать соблюдение требований GDPR.

Классифицируются ли сотрудники как обработчики данных?

Сотрудники контроллера данных не классифицируются как обработчики данных. Пока человек действует в рамках своих служебных обязанностей, он действует как агент контроллера данных.

Другими словами, GDPR классифицирует их как часть контроллера, а не как отдельную сторону, с которой заключен договор на обработку данных от имени контроллера данных.

Является ли ваша компания обработчиком данных?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация процессором в соответствии с GDPR:

1. Обрабатываете ли вы личные данные для кого-то другого и по его поручению?
2. Были ли вам предоставлены личные данные третьими лицами или были ли вам проинструктированы, какие данные нужно собирать?
3. Вы не решили собирать личные данные от физических лиц и не решали, какие данные следует собирать.
4. Вы не определяете законное основание для сбора или использования этих данных.
5. Вы не решаете, для чего будут использоваться данные.
6. Вы не решаете, как долго данные будут храниться и храниться.
7. Реализуете ли вы решения по обработке данных в рамках контракта с другой компанией?
8. Вас не интересуют общая цель или результат обработки.

Обязанности обработчика данных GDPR

Согласно GDPR, обработчики данных не имеют таких же юридических обязательств, как контроллеры. Обработчики не должны платить за защиту данных.

Но у них есть собственный набор обязательств в соответствии с GDPR, и надзорные органы, такие как ICO, могут принять меры в отношении любых нарушений.

В соответствии со статьей 28 GDPR, если какие-либо действия по обработке данных выполняются по указанию контролера, обработчик данных должен принять соответствующие организационные и технические меры в соответствии с руководящими принципами, изложенными в GDPR.

Обработчики данных несут ответственность за обеспечение защиты прав субъекта данных, поэтому они должны иметь свои собственные меры безопасности.

Если GDPR обнаружит какие-либо нарушения данных, в соответствии со статьей 83 , сотрудник по защите данных наложит штраф в соответствии со степенью ответственности обработчика и контролера с учетом всех реализованных технических и организационных мер. контроллерами и процессорами.

Пример процессора данных

В спортзале проводится специальное рекламное мероприятие, и в нем нанимается типография для изготовления приглашений. Спортзал предоставляет типографии имена и адреса своих нынешних членов из своей базы данных.Типография использует эту информацию для рассылки приглашений.

Спортзал считается контролером личной информации, которая используется для отправки приглашений. Тренажерный зал определил цель обработки персональных данных (для отправки адресованных приглашений на рекламное мероприятие) и средства обработки данных (объединение персональных данных по почте с использованием контактных данных субъектов данных).

Типография обрабатывает персональные данные только в соответствии с инструкциями спортзала и, следовательно, является обработчиком данных, а не контролером данных.

Что такое субпроцессор согласно GDPR?

Когда процессор данных решает передать часть или всю обработку данных третьей стороне по субподряду, это лицо или организация обычно называется «субпроцессором».

GDPR гласит, что обработчик должен иметь предварительное письменное разрешение, если его обработчик от контроллера данных намеревается передать обработку персональных данных третьей стороне (подпроцессору).

После получения формального разрешения от контроллеров данных обработчик данных останется полностью ответственным перед контроллером данных за работу подпроцессора.

Что должно быть включено в контраст между процессором и вспомогательным процессором?

Когда составляется контракт между обработчиком данных и субпроцессором, он должен содержать те же обязательства по защите данных, которые первоначально изложены в контракте между обработчиком данных и контролером данных.

Это обычно называется «двусторонним контрактом».

Согласно ст. 28 (3) GDPR договор между обработчиком и его субпроцессором должен содержать следующую информацию:

• Предмет персональных данных и продолжительность их обработки.
• Точная цель и характер обработки данных.
• Обязанность обработчика данных обеспечивать безопасность данных и предупреждать контролера данных в случае утечки данных.

Чтобы ознакомиться с инструкциями ICO по контрактам между обработчиками и подрядчиками, щелкните здесь.

Что такое «контроллеры» и «процессоры»?

Подробно

Что GDPR Великобритании говорит о контроллерах и процессорах?

GDPR Великобритании проводит различие между «контролером» и «обработчиком», чтобы признать, что не все организации, участвующие в обработке персональных данных, несут одинаковую степень ответственности.GDPR Великобритании определяет эти термины:

«Контроллер » означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

«Процессор » означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Если вы являетесь контролером, вы несете ответственность за соблюдение GDPR Великобритании — вы должны быть в состоянии продемонстрировать соблюдение принципов защиты данных и принять соответствующие технические и организационные меры для обеспечения того, чтобы ваша обработка выполнялась в соответствии с GDPR Великобритании. .

Если вы переработчик, у вас более ограниченные обязанности по соблюдению нормативных требований.

Что такое контроллер?

GDPR Великобритании определяет контролера как:

физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

Контроллеры принимают решения о процессах обработки. Они осуществляют общий контроль над обрабатываемыми персональными данными и в конечном итоге несут ответственность за обработку.

Некоторые контролеры могут быть обязаны обрабатывать личные данные по закону. В разделе 6 (2) Закона о защите данных 2018 года говорится, что контролером будет любое лицо, которое несет такое обязательство и обрабатывает данные только в соответствии с ним.

Контроллер может быть компанией или другим юридическим лицом (например, зарегистрированным партнерством, зарегистрированной ассоциацией или государственным органом) или физическим лицом (например, индивидуальным предпринимателем, партнером в некорпоративном партнерстве или самозанятым профессионалом, например, барристером. ).

Тем не менее, физическое лицо, обрабатывающее персональные данные в целях чисто личной или домашней деятельности, не подпадает под действие GDPR Великобритании.

Пример

Хирургия общей практики использует автоматизированную систему в своей комнате ожидания, чтобы уведомить пациентов, когда следует перейти в консультационную комнату. Система состоит из цифрового экрана, на котором отображается имя ожидающего пациента и номер соответствующего кабинета, а также громкоговоритель для слабовидящих пациентов, который объявляет ту же информацию.

Хирургия общей практики будет распоряжаться персональными данными, обрабатываемыми в связи с системой уведомления зала ожидания, поскольку она определяет цели и средства обработки.

Пример

Фирма использует бухгалтера для ведения бухгалтерских книг. Действуя от имени своего клиента, бухгалтер является контролером в отношении личных данных в учетных записях. Это связано с тем, что бухгалтеры и аналогичные поставщики профессиональных услуг выполняют ряд профессиональных обязательств, которые обязывают их нести ответственность за обрабатываемые ими персональные данные.Например, если бухгалтер обнаруживает злоупотребление служебным положением при ведении счетов фирмы, он может, в зависимости от его характера, быть обязан в соответствии с его обязанностями по мониторингу сообщить о злоупотреблении служебным положением в полицию или другие органы. Поступая таким образом, бухгалтер будет действовать не по инструкциям клиента, а в соответствии со своими профессиональными обязанностями и, следовательно, в качестве контролера в своем собственном праве.

Если специализированные поставщики услуг обрабатывают данные в соответствии со своими профессиональными обязанностями, они всегда будут действовать в качестве контролера.В этом контексте они не могут согласиться передать или разделить обязательства контролера с клиентом.

Некоторые организации не имеют отдельного юридического лица — например, некорпоративные ассоциации, такие как спортивные клубы или добровольные группы. В этом случае вам следует ознакомиться с документом, который устанавливает и регулирует управление этой организацией. В этом документе должно быть указано, какое лицо (лица) управляет организацией от имени ее членов и может действовать как контролер или совместные контролеры, а также как можно заключать контракты от имени организации.

Для удобства вы можете идентифицировать организацию в целом как контролера (например, вы можете использовать название клуба или группы в своей информации о конфиденциальности для отдельных лиц). Но для юридических целей контролером фактически будут соответствующие участники, которые принимают решения об обработке данных организацией.

Что такое совместный контролер?

могут определять цели и средства обработки самостоятельно или совместно с другими — как совместный контролер. Статья 26 (1) GDPR Великобритании гласит:

Если два или более контролеров совместно определяют цели и средства обработки, они должны быть совместными контролерами .

Совместные контроллеры совместно определяют цели и средства обработки — у них одинаковые или общие цели. Контроллеры не будут совместными контроллерами, если они обрабатывают одни и те же данные для разных целей.

Что такое процессор?

GDPR Великобритании определяет процессор как:

«обработчик» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Процессоры действуют от имени соответствующего контролера и под их руководством. При этом они служат интересам контролера, а не своим собственным.

Хотя процессор может принимать свои собственные повседневные операционные решения, в статье 29 говорится, что он должен обрабатывать личные данные только в соответствии с инструкциями контролера, если иное не требуется по закону.

Если процессор действует без инструкций контроллера таким образом, что он определяет цель и средства обработки, в том числе для соблюдения установленных законом обязательств, он будет контроллером в отношении этой обработки и будет нести такую ​​же ответственность, как и контроллер.

Обработчик может быть компанией или другим юридическим лицом (например, акционерным обществом, объединенной ассоциацией или государственным органом) или физическим лицом, например консультантом.

Пример

Спортивный зал привлекает местную типографию для изготовления приглашений на специальное мероприятие, которое проводится в тренажерном зале. Спортзал сообщает типографии имена и адреса своих членов из своей базы данных, которые принтер использует для рассылки приглашений и конвертов.Затем тренажерный зал разошлет приглашения.

Тренажерный зал является контролером персональных данных, обрабатываемых в связи с приглашениями. Спортзал определяет цели, для которых обрабатываются персональные данные (для отправки приглашений на мероприятие с индивидуальным адресом) и средства обработки (объединение персональных данных по электронной почте с использованием адресных данных субъектов данных). Типография — это процессор, обрабатывающий личные данные только по указанию спортзала.

Сотрудники контроллера не являются обработчиками.Пока они действуют в рамках своих служебных обязанностей, они действуют как агент самого контролера. Они являются частью контролера, а не отдельной стороной, с которой заключен договор на обработку данных от имени контролера.

Что такое субпроцессор?

Процессор может пожелать передать всю или часть обработки другому процессору по субподряду. Для краткости это иногда называют использованием «субпроцессора», хотя этот термин не взят из самого GDPR Великобритании.

Политика обработки персональных данных. JUG Ru Group — Конференции и встречи для разработчиков. Большой. Технические. Независимый

Изменения правил обработки общедоступных персональных данных

Персональные данные могут быть переданы неограниченному кругу лиц только на основании особого отдельного согласия лица, чьими данными они являются.В согласии лицо может определить, какие данные будут доступны общественности, в том числе для дальнейшего распространения.

В согласии лицо может установить запреты на передачу и обработку или условия обработки персональных данных неограниченным кругом лиц. Оператор персональных данных должен публиковать в Интернете информацию о таких личных запретах и ​​условиях, которые могут быть трудными с технической точки зрения, поскольку потребуют разработки и внедрения новых технологических процессов.

Роскомнадзор разработает порядок выдачи такого согласия. ²

Лицо может дать согласие непосредственно оператору персональных данных или с помощью информационной системы Роскомнадзора, которая должна быть введена в действие до 1 июля 2021 года.

Операторы данных, использующие общедоступные персональные данные, должны по запросу Роскомнадзора или соответствующего лица доказать, что у них есть надлежащие правовые основания для обработки данных. Это означает, что даже если персональные данные были обнародованы одним оператором данных на законных основаниях, другие организации должны проверить согласие и ограничения на обработку данных, опубликованные в Интернете таким оператором данных, и использовать данные только в порядке, определенном лицом в согласие.

С 27 марта 2021 года ответственность за нарушение правил, установленных поправками, будет увеличена до 300 000 рублей для юридических лиц.

Рекомендуемые действия

• Операторы данных должны пересмотреть свои действия по обработке персональных данных, чтобы определить категории получателей персональных данных во время передачи данных третьим лицам.
• Операторы данных, распространяющие персональные данные неопределенному кругу лиц, должны получить согласие в соответствии с новыми требованиями.
• Операторы данных, собирающие персональные данные из открытых источников, должны пересмотреть свою деятельность по обработке персональных данных, чтобы убедиться, что у них есть законные основания для обработки персональных данных из таких открытых источников.

Посмотреть русскую версию

1 Федеральный закон № 519-ФЗ «О внесении изменений в Федеральный закон« О персональных данных »от 30 декабря 2020 года

2 Черновик доступен по адресу: https://regulation.gov.ru/projects/List/AdvancedSearch#departments=47&npa=113086

Заявление о защите данных в соответствии с Общим регламентом защиты данных (GDPR) | Blauberg Selector

Если ваши персональные данные обрабатываются, вы становитесь субъектом персональных данных в смысле, предусмотренном GDPR, и вы иметь следующие права по отношению к Оператору персональных данных: категории обрабатываемых персональных данных; получатели или категории получателей, которые были или будут раскрывать личные данные, касающиеся вас;

CJEU определяет, что динамические IP-адреса могут быть личными данными, но могут также обрабатываться для целей работоспособности

19 октября 2016 года Суд Европейского Союза (CJEU) вынес решение по делу C-582/14: Patrick Breyer v Bundesrepublik Deutschland , о предварительном решении относительно толкования статей 2 (a) и 7 (f) Директивы о защите данных, относительно того, являются ли динамические IP-адреса персональными данными и могут ли они обрабатываться в законных интересах операторов веб-сайта (например, для удобства работы).

Патрик Брейер, гражданин Германии, подал иск против Федеративной Республики Германии как оператора общедоступных веб-сайтов с целью воспрепятствовать государственным властям Германии регистрировать и сохранять его IP-адреса, когда он просматривал их веб-сайты. Федеральный суд Германии направил в CJEU два вопроса:

1. являются ли динамические IP-адреса посетителей веб-сайта персональными данными по отношению к оператору веб-сайта, если только третья сторона (в данном случае поставщик интернет-услуг — ISP) может идентифицировать посетителя; и

2.исключает ли статья 7 (f) Директивы о защите данных такое положение в национальном законодательстве, которое не позволяет оператору веб-сайта собирать и использовать личные данные посетителя без согласия посетителя с целью обеспечения общей работоспособности веб-сайта.

По первому вопросу Суд отметил, что динамические IP-адреса, назначаемые интернет-провайдером пользователю на ограниченный период времени, отличаются от статических IP-адресов, которые являются неизменными и позволяют непрерывно идентифицировать устройство. подключен к сети »(¶36).Статические IP-адреса обычно считаются личными данными. Суд также отметил, что как статические, так и динамические IP-адреса считаются персональными данными в отношении интернет-провайдеров и их клиентов, как это указано в Scarlet Extended .

В этом деле Суд решил применить «относительный» или «субъективный» критерий к квалификации динамических IP-адресов. Согласно этому критерию, динамический IP-адрес является персональными данными, если для оператора веб-сайта есть законная и практически возможность получить дополнительные данные от интернет-провайдера для идентификации посетителя.В этом случае оператор веб-сайта не может получить данные напрямую от интернет-провайдера, даже если оператор веб-сайта является государственным органом; тем не менее, в соответствии с законодательством Германии существует возможность идентификации посетителя интернет-провайдером, например, в случае кибератаки с IP-адреса посетителя. Таким образом, суд ответил утвердительно: динамические IP-адреса являются личными данными для оператора веб-сайта, если интернет-провайдер идентифицирует посетителей.

По второму вопросу Суд сначала должен был определить, исключена ли обработка персональных данных (IP-адресов посетителей правительственных веб-сайтов) из сферы действия Директивы о защите данных, поскольку Директива не применяется к операции по обработке персональных данных, касающиеся деятельности государства в сфере уголовного права (статья 3 (2)).Суд пришел к выводу, что федеральные учреждения Германии, управляющие веб-сайтами и собирающие IP-адреса, должны рассматриваться как частные лица, несмотря на их статус государственных органов, и, следовательно, их деятельность регулируется положениями Директивы.

Суд постановил, что статья 7 Директивы о защите данных устанавливает «исчерпывающий и ограничительный список» вариантов, в которых обработка персональных данных является законной, и поэтому государство-член не может ни расширять, ни ограничивать этот список.Однако немецкое законодательство не содержит принципа из статьи 7 (f) Директивы, который разрешает обработку данных, если это ‘необходимо для целей законных интересов, преследуемых контролером или третьей стороной или сторонами. кому данные раскрываются, за исключением случаев, когда такие интересы перекрываются интересами основных прав и свобод субъекта данных, которые требуют защиты в соответствии со статьей 1 (1) ‘. Федеральные учреждения Германии могут иметь законный интерес в обеспечении функционирования своих веб-сайтов, и для этой цели они должны иметь возможность собирать и использовать IP-адрес устройства посетителя после его отключения от веб-сайта.Таким образом, на второй вопрос Суд также дал утвердительный ответ: национальное законодательство не может ограничивать возможности обработки данных, указанные в Директиве о защите данных.

Заключительные мысли

Аргумент Суда в деле Breyer предсказуемо развивает прецедентное право в отношении IP-адресов, как правило, в соответствии с мнением генерального прокурора по данному делу. Однако в своем ответе на первый вопрос «относительный» критерий идентифицируемости Суда для обработки динамических IP-адресов как личных данных может показаться практически устаревшим.Как отмечалось Рабочей группой по статье 29 в Мнении WP 136, поставщики услуг, такие как операторы веб-сайтов, редко смогут сказать в момент сбора информации, возможна ли идентификация конкретного IP-адреса путем получения дополнительных данных от интернет-провайдера, не говоря уже о том, является ли конкретный IP-адрес статическим или динамическим. Следовательно, им придется рассматривать все IP-адреса как личные данные, «чтобы быть в безопасности». Возможными исключениями могут быть IP-адреса выходных узлов Tor или VPN-серверов, поставщики которых не могут (или не хотят) идентифицировать пользователей, но даже в этих случаях провайдер может быть физическим лицом, личность которого может быть получена и чьи личные данные рассматриваться как таковое.

Другой, вероятно, более распространенный способ, с помощью которого динамический IP-адрес может быть связан с конкретным человеком, — это использование логина, файлов cookie или трекеров (см. Мнение WP 148 Рабочей группы по статье 29). Все эти варианты также охватываются новым определением личных данных в статье 4 (1) Общего регламента защиты данных (GDPR), действующего с 25 мая 2018 года. В этом определении прямо упоминаются «онлайн-идентификаторы», которые предположительно включают логины и файлы cookie. , трекеры и IP-адреса.

Ответ Суда на второй вопрос, касающийся «целей работоспособности», является долгожданным достижением с точки зрения кибербезопасности и может помочь поставщикам онлайн-медиа-услуг в ЕС лучше защитить себя от кибератак. Сохраняя IP-адреса посетителей в списке, они могут заносить в черный список те IP-адреса, с которых их веб-сайты подвергались атакам в прошлом, и могут перенаправлять вредоносные запросы в воронку или ловушку.

«Основные права и свободы субъекта данных» также должны быть приняты во внимание при регистрации и хранении IP-адресов или других сетевых идентификаторов.В этом случае дело Breyer дополняет прецедентное право в Digital Rights Ireland и Schrems и дает государствам-членам возможность лучше регулировать хрупкий баланс между хранением данных и защитой личных данных.

Томаш Минарик и Одри Гарсия

Эта публикация не обязательно отражает политику или мнение Совместного центра передового опыта в области киберзащиты НАТО (Центр) или НАТО. Центр не может нести ответственность за любые убытки или вред, возникшие в результате использования информации, содержащейся в этой публикации, и не несет ответственности за содержание внешних источников, включая внешние веб-сайты, на которые есть ссылки в этой публикации.