Обработка персональных данных
В 2006 г. на правительственном уровне был утвержден нормативно-правовой акт об обработке персональных данных. В свод федерального акта включены любые сведения о человеке, которые прямо или косвенно относятся к гражданину и передаются третьей стороне отношений. Об условиях передачи сведений о субъекте, а также об обеспечении конфиденциальности указано в ФЗ № 152.
Содержание статьи
Суть правового документа № 152
Порядок обработки и защиты персональных данных (ПДН) регулируется актуальным на 2021 год ФЗ № 152. Подобная процедура предусмотрена в отношении материалов передаваемых в формате online и offline.
Основные положения
Примечательно, что нормативный акт сформирован не для защиты системного обеспечения и серверных станций, а направлен на предупреждение угроз личных сведений субъекта. Ввиду этого соблюдение правового документа начинается не с установки антивируса на сервер, а с организации системы обработки персональных данных.
В качестве основного органа, на которого возложены полномочия проверки, является Роскомнадзор. Учреждение не принимает в учет состояние технического оборудования и средств, а обращает внимание на основания для ПДН:
- цель сбора;
- объем;
- период хранения;
- наличие на сайте политики конфиденциальности;
- сбор согласия на передачу и обработку третьей стороной.
ФЗ № 152 о согласии на обработку персональных данных был разработан в 2006 г., однако наиболее существенные корректировки были внесены спустя 12 мес. Так, меры ужесточения были внесены в отношении ответственности, а также изменениям подверглись требования и правила хранения информации. В 2021 г. эта редакция федерального акта остается в силе.
В настоящей статье № 3 части № 1 установлено, что под ПДН подразумевается любой тип информации, которая косвенно или прямо относятся к конкретному гражданину. В подобных ситуациях человек представляется, как субъект персональных материалов.
Последние изменения
Корректировки в отношении ответственности операторов, занимающихся анализом, сбором и хранением личных материалов, были внесены в 2018 г. В соответствии с частью № 5 статьи № 6 оператор обязан:
- Нести ответственность за переработку сведений и осуществление надлежащего уровня защиты согласно действующему законодательству России.
- Порядок проведения контроля за действиями человека или юридического лица, устанавливается самостоятельно.
В связи с этим, если оператор привлекает к работе по ПДН третью сторону, то за их нарушения несет ответственность.
Исключения из правил по обработке личных данных
В соответствии со ст. № 22 п. № 2 настоящего Федерального закона исключениям из правил являются следующие случаи:
- переработка ИСПДН для личных нужд, в том числе семьи;
- необходимость продиктована соблюдением ТК России;
- информация передана по итогам подписания контракта и применяется для его реализации, но при этом не подлежит передаче другой стороне;
- материалы относятся к членам или представителям социальных и религиозных организаций, действующих в рамках закона, но при условии, что информация не будет передаваться сторонним лицам;
- субъект в самостоятельном порядке сделал личные сведения доступными;
- при условии, что информация содержит только Ф. И. И. субъекта;
- в качестве разового пропуска на территорию объекта работы оператора ИСПДН;
- если информация внесена в госсистему для сохранения конфиденциальности и проведения мер безопасности;
- когда сверка сведений происходит вручную в рамках нормативных актов;
- переработка, предусмотренная транспортной безопасностью, в том числе для предупреждения угрозы работы общественных ТС.
Категории
Закон № 152 об обработке персональных данных относится ко всем владельцам web-порталов, где происходит взаимодействие с личными сведениями людей. Нормативный акт описывает порядок обеспечения безопасности персональных материалов, сроки и условия хранения.
К видам обработки персональных данных относится:
- форма, предназначенная для обратной связи с посетителем портала;
- web-страницы для размещения объявлений;
- анкеты;
- опросники;
- сбор биометрической информации;
- формы отзывов, комментариев, заказа;
- процедура сбора сведений о пользователях веб-портала.
Таким образом, ФЗ № 152 относится к получению сведений о посетителях web-страницы, если это касается:
- Ф. И. О. субъекта;
- место регистрации или проживания;
- налоговый идентификатор;
- e-mail;
- номер мобильного, стационарного телефона;
- дата рождения, в том числе место;
- фотокарточка;
- ссылка на личный портал или аккаунт в социальных сетях;
- указано образование, трудовая деятельность;
- финансовый и семейный статус;
- геоположение, IP, cookies.
В категорию личных сведений может входить и другая информация, т. к. ФЗ № 152 не вводит ограничений в этот список.
Субъекты и их права по ФЗ № 152
Субъектом ИСПД выступает физлицо, личность которого возможно определить прямым или косвенным способом за счет полученной информации. Таким образом, каждый пользователь попадает под действие закона, если владелец web-портала собирает сведения.
В связи с этим нормативный акт определяет права субъектов персональной информации:
- Получать информирование о переработке его ИСПД. В частности:
- факт обработки;
- законные основания;
- цель;
- способ переработки;
- название и расположение оператора;
- источники;
- период хранения и действия процедуры;
- предполагаемая передача;
- если от лица оператора выступает третий участник, то указывается Ф. И. О. и адрес проживания.
- Пользователь сайта вправе потребовать уточнить состав ИСПДН, а также подвергать блокировке и удалять, если они неполные, утратили актуальность, либо получены незаконным путем.
- Получать отчет в доступном формате по запросу.
- Направлять повторный запрос.
Требования к хранению и обработке персональных сведений
Под ПДН понимаются любые операции или комплекс мер, совершаемых с применением систем автоматизации или без использования подобных средств. В перечень действий включен:
- сбор;
- запись;
- распространение;
- хранение;
- блокировка;
- ликвидация;
- обезличивание.
Обработка
Список требований к обработке персональных данных:
- правомочность;
- период операции имеет ограничение в виде достижения цели;
- запрещена «склейка» баз, сформированных для разных целей;
- обработке подлежит только та информация, которая соответствует целям, заявленному содержанию и объему;
- ИСПДН должны быть при этом точными, актуальными — при несоответствии критериям оператор обязан их ликвидировать либо внести корректировки.
Хранение
К хранению и правилам обработки персональных данных предъявляются такие требования, как:
- форма хранения должна определять человека;
- период не должен превышать даты завершения цели, если время не определено настоящим федеральным законом или соглашением;
- при достижении целей ИСПДН материалы обезличиваются, ликвидируются оператором;
- сервера для хранения должны находиться в Российской Федерации.
Система безопасности формируется в соответствии с требованиями уровня защиты, предупреждающие угрозы для личных материалов субъекта. Допускается проведение проверки ФСТЭК.
Дополнительные условия для юр. лиц
Организациям необходимо проанализировать сайт на предмет соответствия требованиям ФЗ № 152 и актуальному на 19 г. законодательству Российской Федерации:
Хостинг, сервер | Расположение в пределах Российской Федерации согласно требованиям ФЗ № 242 |
Текст возле формы для сбора материалов | «При нажатии/пользовании сайтов пользователь автоматически дает согласие на обработку ПДН». Дополнительно на портале владелец обязан установить файл о Пользовательском соглашении. |
Размещение пользовательского соглашения | Эксперты рекомендуют расположить текст в отдельном разделе сайта |
Требования к содержанию документа |
|
Политика переработки ИСПДН | Указание в виде ссылки |
Новые пользователи сайта | Должна высвечиваться всплывающая форма предупреждения о сборе IP, геоположения, cookies и т. п. Если пользователь не согласен с проводимой политикой web-страницы — обязан покинуть её. |
Способы защиты ПДН
Роскомнадзор — уполномоченный орган для проведения проверок web-ресурсов, в том числе внеплановых. Примечательно, что последний вариант анализа порталов осуществляется по заявке граждан. В связи с этим, если не соблюдается федеральный закон, то существует высокий риск стать фигурантом дела по КоАП или УК России. Каждый пользователь вправе подать жалобу за несанкционированный доступ и использование личных материалов.
Выявление нарушений Роскомнадзором влечет утрату репутации и наложении высоких штрафных санкций. При возбуждении дела по статье УК России сайт подвергается блокировке. Подобная ситуация произошла с соцсетью LinkedIn.
Защита личной информации — это комплекс мер, направленных на обеспечение безопасности сведений о субъекте, на основании которых можно его идентифицировать.
В Российской Федерации защитные меры от угрозы передачи в свободный доступ ИСПДН проводится за счет специального режима переработки материалов. В состав процедуры включены следующие операции:
- формирование внутренних документов для работы оператора;
- установки технических средств защиты;
- получение лицензии от уполномоченного органа — ФСТЭК, ФСБ;
- получение сертификата для защиты информационных пакетов данных через аналогичные органы контроля.
Степени защиты личных данных
Этапы средств защиты информации на обработку персональных данных:
- выявление действий, требующих сверки личных материалов;
- выделение процессов;
- определение списка работников и филиалов организации, имеющих доступ к личным материалам пользователей;
- установление сотрудников и процессов для проведения анализа;
- выявление набора систем и комплекса для сверки;
- установление категорий ИСПДН и классификации систем;
- формирование необходимой формы предполагаемых угроз для обеспечения безопасности;
- подготовка ТЗ для формирования системы безопасности;
- подача заявления в письменной форме о субъектах персональных данных в Роскомнадзор — процедура регистрации;
- направление в ФСТЭК заявки на получение соответствующей документации;
- разработка требований для отдельной системы безопасности, в т. ч. с учетом уровня защиты;
- подготовка проекта по предупреждению угроз;
- сформировать внутренние бумаги по защите личных материалов пользователей;
- разработка и внедрение проекта системы;
- получение от посетителей web-страницы согласия субъекта персональной информации;
- систематически проводить меры по контролю нарушений.
Уровни защищенности ПДн
В ПП № 1119 от 1 ноября 12 года утверждены уровни защиты личных материалов пользователей информационных сетей. Для каждого этапа предусмотрены отдельные требования, подлежащие выполнению. Для подбора необходимого уровня нужно выявить параллельные условия, а именно:
- категория данных;
- форма взаимоотношений между физическим и юридическим лицом;
- численность субъектов;
- возможные виды угроз.
После сопоставления сведений владелец сайта получает представление о том, какой уровень защиты в соответствии с Федеральным законом № 152 Российской Федерации требуется.
При нарушении положений нормативно-правового акта предусмотрена ответственность в отношении оператора. Размер санкций прописан в статье № 13.11 КоАП России. Например, в отношении должностных лиц вводится сначала предупреждение, затем штраф в объеме 1000-3000 руб. Для ИП наказание предусмотрено в размере 5000-10000 рублей, а для юридических лиц — 30000-50000 р.