Обработка персональных данных

В 2006 г. на правительственном уровне был утвержден нормативно-правовой акт об обработке персональных данных. В свод федерального акта включены любые сведения о человеке, которые прямо или косвенно относятся к гражданину и передаются третьей стороне отношений. Об условиях передачи сведений о субъекте, а также об обеспечении конфиденциальности указано в ФЗ № 152.

Суть правового документа № 152

Порядок обработки и защиты персональных данных (ПДН) регулируется актуальным на 2020 год ФЗ № 152. Подобная процедура предусмотрена в отношении материалов передаваемых в формате online и offline.

Основные положения

Примечательно, что нормативный акт сформирован не для защиты системного обеспечения и серверных станций, а направлен на предупреждение угроз личных сведений субъекта. Ввиду этого соблюдение правового документа начинается не с установки антивируса на сервер, а с организации системы обработки персональных данных.

В качестве основного органа, на которого возложены полномочия проверки, является Роскомнадзор. Учреждение не принимает в учет состояние технического оборудования и средств, а обращает внимание на основания для ПДН:

  • цель сбора;
  • объем;
  • период хранения;
  • наличие на сайте политики конфиденциальности;
  • сбор согласия на передачу и обработку третьей стороной.

ФЗ № 152 о согласии на обработку персональных данных был разработан в 2006 г., однако наиболее существенные корректировки были внесены спустя 12 мес. Так, меры ужесточения были внесены в отношении ответственности, а также изменениям подверглись требования и правила хранения информации. В 2020 г. эта редакция федерального акта остается в силе.

В настоящей статье № 3 части № 1 установлено, что под ПДН подразумевается любой тип информации, которая косвенно или прямо относятся к конкретному гражданину. В подобных ситуациях человек представляется, как субъект персональных материалов.

Последние изменения

Корректировки в отношении ответственности операторов, занимающихся анализом, сбором и хранением личных материалов, были внесены в 2018 г. В соответствии с частью № 5 статьи № 6 оператор обязан:

  1. Нести ответственность за переработку сведений и осуществление надлежащего уровня защиты согласно действующему законодательству России.
  2. Порядок проведения контроля за действиями человека или юридического лица, устанавливается самостоятельно.

В связи с этим, если оператор привлекает к работе по ПДН третью сторону, то за их нарушения несет ответственность.

Важно! К примеру, если владелец сайта передал права на продвижение портала подрядчику, а тот в свою очередь сделал рассылку СПАМа, то правовые последствия коснуться только заказчика подобных услуг.

Исключения из правил по обработке личных данных

В соответствии со ст. № 22 п. № 2 настоящего Федерального закона исключениям из правил являются следующие случаи:

  • переработка ИСПДН для личных нужд, в том числе семьи;
  • необходимость продиктована соблюдением ТК России;
  • информация передана по итогам подписания контракта и применяется для его реализации, но при этом не подлежит передаче другой стороне;
  • материалы относятся к членам или представителям социальных и религиозных организаций, действующих в рамках закона, но при условии, что информация не будет передаваться сторонним лицам;
  • субъект в самостоятельном порядке сделал личные сведения доступными;
  • при условии, что информация содержит только Ф. И. И. субъекта;
  • в качестве разового пропуска на территорию объекта работы оператора ИСПДН;
  • если информация внесена в госсистему для сохранения конфиденциальности и проведения мер безопасности;
  • когда сверка сведений происходит вручную в рамках нормативных актов;
  • переработка, предусмотренная транспортной безопасностью, в том числе для предупреждения угрозы работы общественных ТС.
Читать так же:  Указ о генетическом паспорте

Категории

Закон № 152 об обработке персональных данных относится ко всем владельцам web-порталов, где происходит взаимодействие с личными сведениями людей. Нормативный акт описывает порядок обеспечения безопасности персональных материалов, сроки и условия хранения.

К видам обработки персональных данных относится:

  • форма, предназначенная для обратной связи с посетителем портала;
  • web-страницы для размещения объявлений;
  • анкеты;
  • опросники;
  • сбор биометрической информации;
  • формы отзывов, комментариев, заказа;
  • процедура сбора сведений о пользователях веб-портала.

Таким образом, ФЗ № 152 относится к получению сведений о посетителях web-страницы, если это касается:

  • Ф. И. О. субъекта;
  • место регистрации или проживания;
  • налоговый идентификатор;
  • e-mail;
  • номер мобильного, стационарного телефона;
  • дата рождения, в том числе место;
  • фотокарточка;
  • ссылка на личный портал или аккаунт в социальных сетях;
  • указано образование, трудовая деятельность;
  • финансовый и семейный статус;
  • геоположение, IP, cookies.

В категорию личных сведений может входить и другая информация, т. к. ФЗ № 152 не вводит ограничений в этот список.

Субъекты и их права по ФЗ № 152

Субъектом ИСПД выступает физлицо, личность которого возможно определить прямым или косвенным способом за счет полученной информации. Таким образом, каждый пользователь попадает под действие закона, если владелец web-портала собирает сведения.

В связи с этим нормативный акт определяет права субъектов персональной информации:

  1. Получать информирование о переработке его ИСПД. В частности:
  • факт обработки;
  • законные основания;
  • цель;
  • способ переработки;
  • название и расположение оператора;
  • источники;
  • период хранения и действия процедуры;
  • предполагаемая передача;
  • если от лица оператора выступает третий участник, то указывается Ф. И. О. и адрес проживания.
  1. Пользователь сайта вправе потребовать уточнить состав ИСПДН, а также подвергать блокировке и удалять, если они неполные, утратили актуальность, либо получены незаконным путем.
  2. Получать отчет в доступном формате по запросу.
  3. Направлять повторный запрос.

За оператором остается право отказывать субъекту в исполнении повторного запроса, если он не соответствует статье № 14 частей № 4, 5 настоящего Федерального закона.

Требования к хранению и обработке персональных сведений

Под ПДН понимаются любые операции или комплекс мер, совершаемых с применением систем автоматизации или без использования подобных средств. В перечень действий включен:

  • сбор;
  • запись;
  • распространение;
  • хранение;
  • блокировка;
  • ликвидация;
  • обезличивание.

Обработка

Список требований к обработке персональных данных:

  • правомочность;
  • период операции имеет ограничение в виде достижения цели;
  • запрещена «склейка» баз, сформированных для разных целей;
  • обработке подлежит только та информация, которая соответствует целям, заявленному содержанию и объему;
  • ИСПДН должны быть при этом точными, актуальными — при несоответствии критериям оператор обязан их ликвидировать либо внести корректировки.

Хранение

К хранению и правилам обработки персональных данных предъявляются такие требования, как:

  • форма хранения должна определять человека;
  • период не должен превышать даты завершения цели, если время не определено настоящим федеральным законом или соглашением;
  • при достижении целей ИСПДН материалы обезличиваются, ликвидируются оператором;
  • сервера для хранения должны находиться в Российской Федерации.
Читать так же:  ​​Как пройти полиграф?

Система безопасности формируется в соответствии с требованиями уровня защиты, предупреждающие угрозы для личных материалов субъекта. Допускается проведение проверки ФСТЭК.

Дополнительные условия для юр. лиц

Организациям необходимо проанализировать сайт на предмет соответствия требованиям ФЗ № 152 и актуальному на 19 г. законодательству Российской Федерации:

Хостинг, серверРасположение в пределах Российской Федерации согласно требованиям ФЗ № 242
Текст возле формы для сбора материалов«При нажатии/пользовании сайтов пользователь автоматически дает согласие на обработку ПДН». Дополнительно на портале владелец обязан установить файл о Пользовательском соглашении.
Размещение пользовательского соглашенияЭксперты рекомендуют расположить текст в отдельном разделе сайта
Требования к содержанию документа
  • название, Ф. И. О. оператора в согласно приказа;
  • цель сбора материала о физическом лице;
  • список пунктов, на которые дается согласие;
  • при поручении проводить анализ, сбор и хранение ИСПДН указать Ф. И. О. третьей стороны;
  • список операций, для которых делается запрос на согласие;
  • период;
  • указание на возможность отзыва разрешения лично или по доверенности от законного представителя.
Политика переработки ИСПДНУказание в виде ссылки
Новые пользователи сайтаДолжна высвечиваться всплывающая форма предупреждения о сборе IP, геоположения, cookies и т. п. Если пользователь не согласен с проводимой политикой web-страницы — обязан покинуть её.

Способы защиты ПДН

Роскомнадзор — уполномоченный орган для проведения проверок web-ресурсов, в том числе внеплановых. Примечательно, что последний вариант анализа порталов осуществляется по заявке граждан. В связи с этим, если не соблюдается федеральный закон, то существует высокий риск стать фигурантом дела по КоАП или УК России. Каждый пользователь вправе подать жалобу за несанкционированный доступ и использование личных материалов.

Выявление нарушений Роскомнадзором влечет утрату репутации и наложении высоких штрафных санкций. При возбуждении дела по статье УК России сайт подвергается блокировке. Подобная ситуация произошла с соцсетью LinkedIn.

Защита личной информации — это комплекс мер, направленных на обеспечение безопасности сведений о субъекте, на основании которых можно его идентифицировать.

В Российской Федерации защитные меры от угрозы передачи в свободный доступ ИСПДН проводится за счет специального режима переработки материалов. В состав процедуры включены следующие операции:

  • формирование внутренних документов для работы оператора;
  • установки технических средств защиты;
  • получение лицензии от уполномоченного органа — ФСТЭК, ФСБ;
  • получение сертификата для защиты информационных пакетов данных через аналогичные органы контроля.

Степени защиты личных данных

Этапы средств защиты информации на обработку персональных данных:

  • выявление действий, требующих сверки личных материалов;
  • выделение процессов;
  • определение списка работников и филиалов организации, имеющих доступ к личным материалам пользователей;
  • установление сотрудников и процессов для проведения анализа;
  • выявление набора систем и комплекса для сверки;
  • установление категорий ИСПДН и классификации систем;
  • формирование необходимой формы предполагаемых угроз для обеспечения безопасности;
  • подготовка ТЗ для формирования системы безопасности;
  • подача заявления в письменной форме о субъектах персональных данных в Роскомнадзор — процедура регистрации;
  • направление в ФСТЭК заявки на получение соответствующей документации;
  • разработка требований для отдельной системы безопасности, в т. ч. с учетом уровня защиты;
  • подготовка проекта по предупреждению угроз;
  • сформировать внутренние бумаги по защите личных материалов пользователей;
  • разработка и внедрение проекта системы;
  • получение от посетителей web-страницы согласия субъекта персональной информации;
  • систематически проводить меры по контролю нарушений.
Читать так же:  ​​Закон о продаже энергетических напитков несовершеннолетним

Если передача личных материалов осуществляется за пределы Российской Федерации, то следует провести проверку на предмет наличия в другом государстве надлежащей системы защиты ПДН.

Уровни защищенности ПДн

В ПП № 1119 от 1 ноября 12 года утверждены уровни защиты личных материалов пользователей информационных сетей. Для каждого этапа предусмотрены отдельные требования, подлежащие выполнению. Для подбора необходимого уровня нужно выявить параллельные условия, а именно:

  • категория данных;
  • форма взаимоотношений между физическим и юридическим лицом;
  • численность субъектов;
  • возможные виды угроз.

После сопоставления сведений владелец сайта получает представление о том, какой уровень защиты в соответствии с Федеральным законом № 152 Российской Федерации требуется.

При нарушении положений нормативно-правового акта предусмотрена ответственность в отношении оператора. Размер санкций прописан в статье № 13.11 КоАП России. Например, в отношении должностных лиц вводится сначала предупреждение, затем штраф в объеме 1000-3000 руб. Для ИП наказание предусмотрено в размере 5000-10000 рублей, а для юридических лиц — 30000-50000 р.

Москва и МО:
+7 (499) 938-46-80
СПб и Лен. область:Санкт-Петербург и область:
+7 (812) 425-65-94
Россия (горячая линия):
8 (800) 350-68-82
Получить консультацию