» »

Какие персональные данные считаются общедоступными. Понятие и виды персональных данных Порядок действий по защите информационной системы персональных данных

К обезличенным данным относятся:

  • Имя, имя и отчество;
  • Ник/логин субъекта в интернете;
  • Электронный адрес (без привязки к ФИО);
  • Должность, место работы (без сведений о личных данных).

К общедоступным данным относятся сведения о субъекте, которую можно получить в открытых источниках информации, например, в телефонном справочнике или адресной книге. В такие общедоступные базы данные вносятся с письменного согласия субъекта. : особенности Особенность общедоступных персональных данных заключается в том, что они могут быть размещены в открытых источниках информации. То есть, если в справочнике контактов организации указаны контактные данные должностных лиц, например, занимающихся обучением и наймом персонала, то такие данные считаются общедоступными.

Понятие и виды персональных данных

ТК РФ). Под обработкой персональных данных подразумеваются различные операции, предусмотренные законодательством Российской Федерации. К видам обработки ПДн относится сбор, систематизация, накопление, хранение, обновление, использование, обезличивание, уничтожение, которые производятся по установленным нормативными актами процедурам.


Осуществлять операции с ПДн могут государственные, федеральные, муниципальные органы и организации, имеющие такое право по статусу. Все ПДн разделяются на такие разделы:
  • Общедоступные персональные данные;
  • Специальные персональные данные;
  • Биометрические персональные данные.

При формировании информационных систем персональных данных (ИСПД) рекомендуется руководствоваться Приказом ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ № 55/86/20 от 13.
02.

Общедоступные персональные данные

Нецелевое использование такой информации карается законом. Закон о защите персональных данных заботится не только о физических, но и о юридических лицах.

Внимание

Мало кому понравится, если информация о финансовом состоянии дел или данных сотрудников компании будет доступна каждому желающему. Это значительно бы упростило жизнь мошенникам, чего не желают ни простые граждане, ни сотрудники правоохранительных органов.


Какие данные считаются персональными по законодательству? Четкого перечня сведений, которые относятся к персональным, в законе не приводится. Содержание:
  • Общедоступные персональные данные
  • Статья 8.

Общедоступные персональные данные это

Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека.

Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.
Относительная простота доступа часто приносит проблемы субъектам ПД - обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Какие персональные данные считаются общедоступными

Например, следующие:

  • потребность хранить резервные копии всей базы данных;
  • необходим специалист, который займется администрированием системы информации;
  • потребуются расходы на специально предназначенное для этого оборудование и программное обеспечение;
  • сотрудник, который обрабатывает персональные данные, должен быть исключительно грамотен.

Какие именно методы применяют для того, чтобы эффективно защитить персональную информацию сотрудников?

  • Сделать помещения, в которых обрабатываются личные данные, полностью закрытыми для доступа других сотрудников.
  • Для получения какой-либо информации сотрудники должны получить специальное разрешение.
  • Хранение данных должно быть четко организовано.

Учитывая наличие и недостатков, и преимуществ у каждого из методов, как правило, работодатели комбинируют их.

Статья 8. общедоступные источники персональных данных

Коммерческой тайной зарплата являться не может из-за того, что она относится к системе оплаты труда. Но это не исключает ее из списка ПД, за распространение которых работника могут уволить согласно Трудовому Кодексу.

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать. к содержанию Виды Типы персональных данных можно классифицировать по:

  • Заложенному в них содержанию:
  • Разряд, в который входит перечень, указанный в ст.10: раса, принадлежность к нации, религия, здоровье, личная жизнь, политические убеждения. При этом согласно ФЗ-152 здесь существуют ограничения, а именно, доступ может быть осуществлен только с письменного разрешения владельца.

Заработная плата – это персональные данные или нет?

Важно

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.


(в ред. Федерального закона от 25.07.2011 N 261-ФЗ) (см. текст в предыдущей редакции) 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ) (см.
Содержание
  • Биометрические. Характеризуют физиологию.
  • Не биометрические. Данные, которые не относятся к биометрическим.

Виды персональных данных На какие типы подразделяются персональные данные? Что к ним относится? Важно понимать, что вся информация, которая хранится на предприятии в отношении определенного сотрудника, может быть рассмотрена с двух разных точек зрения.

  • Данные о семейном положении и семье работника (отдельных ее членах), а именно: наличие иждивенцев, наличие детей, их возраст и количество, состояние здоровья.
  • Информация об определенном сотруднике, а именно: ФИО (паспорт), профессия, состояние здоровья, а также какие-нибудь особенные обстоятельства.

Руководитель предприятия обязан сформировать нормативно-правовой акт локального значения, который рассматривает порядок, определяющий хранение персональных данных.

Персональные данные общедоступные что к ним относится

Ответственность за разглашение Важно учесть, что 152 ФЗ «О защите персональных данных» предусматривает только административную ответственность предприятия за разглашение персональных данных сотрудника. А значит, если организация не способна гарантировать работникам абсолютную защиту их личной информации, то ее ожидает только штраф. Причем суммы денежного наказания за неправильное хранение персональных данных абсолютно смешные. В общем, они колеблются от пяти до десяти тысяч рублей. Конечно, это так, если речь идет только об одиночных выплатах. Как правило, на предприятиях, где есть такого рода проблемы, нарушения множественные, а значит, и суммы штрафа существенно возрастают. Однако денежные затраты — далеко не самое главное последствие того, что использование персональных данных происходит неправильным образом. Это сильно бьет по репутации компании.
Например, следующие:

  • наличие дополнительных ресурсов для хранения, таких как специальные помещения, оборудование, сейфы и так далее;
  • трудоемкость процесса;
  • требуются специальные навыки для ведения бумажной документации.

Иногда отделы кадров предпочитают хранить информацию об одном сотруднике раздельно (в различных тематических папках). Так, отдельно хранятся все трудовые договоры, анкеты и прочие документы по всем работникам сразу. Их нумеруют для более удобного поиска. Этот способ менее трудозатратен, чем тот, что был описан выше, да и не требует никаких специальных навыков от сотрудника отдела кадров. Тем не менее и он не лишен недостатков.
Уведомление об обработке персональных данных Очень частой ошибкой операторов производить уведомление об обработке ПД, когда можно было этого не делать. И если вы всё-таки решили уведомить Роскомнадзор, то вот несколько рекомендаций:

  • Очень внимательно ознакомьтесь с ч.2 ст.22 ФЗ РФ от 27.07.06г.

    N 152-ФЗ «О персональных данных».

  • Посмотрите на данные, которые обрабатываются у вас. Некоторые случаи потребуют от вас корректировки с носителями ПД.

Одна из причин, по которой можно не уведомлять об обработке ПД, указана в п.2 ч.2 ст.22 ФЗ и выглядит следующим образом: Возьмем в пример установление деловых отношений с физлицом для выполнения услуги.

Чтобы дать понять, что всё готово и вам не пришлось просто так ехать несколько десятков километров, предусмотрительно мастер взял ваш номер телефона для оглашения радостной новости.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите. Однако есть категория общедоступных персональных данных, которые несут лишь поверхностную и обезличенную информацию и человеке.

Из этой статьи вы узнаете:

  • что такое общедоступные персональные данные;
  • перечень общедоступных персональных данных;
  • особенности работы с общедоступными персональными данными.

При создании любой базы данных, в том числе перечня всех работников предприятия, на начальном этапе необходимо распределить на категории персональные данные. Все персональные данные сотрудников разбиваются на две группы – общедоступные и конфиденциальные.

Понятие и классификация персональных данных

Персональные данные (ПДн) – это различные виды информации, от полного имени, даты рождения, семейного и социального положения, до регистрационных номеров документов, выданных государственными органами и коммерческими инстанциями. Оператором персональным данных выступает государственная, федеральная, коммерческая структура, юридическое или физическое лицо, имеющие права на выполнение различных мероприятий с использованием персональных данных.

В трудовых отношениях обладателем/субъектом персональных данных является работник, а оператором работодатель, кадровый и бухгалтерский отдел, занимающиеся оформлением сотрудника на работу и всеми вопросами, связанными с личными делами и правовыми соотношениями, начислением заработной платы, пособий, компенсаций и т.п. ПДн субъекта необходимы работодателю для связи их с трудовыми отношениями/соглашениями (ст. 85, 86 ТК РФ).

Под обработкой персональных данных подразумеваются различные операции, предусмотренные законодательством Российской Федерации. К видам обработки ПДн относится сбор, систематизация, накопление, хранение, обновление, использование, обезличивание, уничтожение, которые производятся по установленным нормативными актами процедурам. Осуществлять операции с ПДн могут государственные, федеральные, муниципальные органы и организации, имеющие такое право по статусу.

Все ПДн разделяются на такие разделы:

  • Специальные персональные данные;
  • Биометрические персональные данные.

При формировании информационных систем персональных данных (ИСПД) рекомендуется руководствоваться Приказом ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ № 55/86/20 от 13. 02. 2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Согласно этому нормативному акту ПДн распределяются на категории:

  1. Категория 1 – специальные данные, определяющие расовую и национальную принадлежность, религиозные и политические убеждения, факты личной жизни и состояния здоровья.
  2. Категория 2 – данные, которые дают возможность идентифицировать субъекта и получить о нем дополнительную информацию за исключением факторов, относящихся к категории 1. К этому разделу относятся ФИО, домашний адрес, данные паспорта, серийные номера документов (мед. полис, пенсионное удостоверение, СНИЛС, ИНН), информация трудовой и медицинской книжки.
  3. Категория 3 – данные, позволяющие идентифицировать субъекта (имя, фамилия, дата рождения).
  4. Категория 4 – обезличенные или общедоступные персональные данные, по которым невозможно идентифицировать субъекта.

Общедоступные персональные данные: перечень

К перечню общедоступных персональных данных можно отнести такие факторы, которые не несут информацию, позволяющую идентифицировать личность человека по базе данных. К обезличенным данным относятся:

  • Имя, имя и отчество;
  • Ник/логин субъекта в интернете;
  • Электронный адрес (без привязки к ФИО);
  • Должность, место работы (без сведений о личных данных).

К общедоступным данным относятся сведения о субъекте, которую можно получить в открытых источниках информации, например, в телефонном справочнике или адресной книге. В такие общедоступные базы данные вносятся с письменного согласия субъекта.

Общедоступные персональные данные: особенности

Особенность общедоступных персональных данных заключается в том, что они могут быть размещены в открытых источниках информации. То есть, если в справочнике контактов организации указаны контактные данные должностных лиц, например, занимающихся обучением и наймом персонала, то такие данные считаются общедоступными. Когда в печатном издании указаны имена и фамилии членов редакции, то эта информация тоже относится к общедоступной.

К особенности общедоступных данных, которая позволяет правильно их классифицировать, можно отнести такой фактор – первые три категории в той или иной степени необходимы для внесения субъекта в ИСПД, а четвертая категория остается вне требований информационных систем. Если о человеке из всех данных известны лишь имя и место работы, то такие сведения являются общедоступными.

При систематизации данных потребуется более точная информация, которую можно получить лишь с письменного согласия субъекта на обработку персональных данных. При этом оператор берет на себя обязанность о защите и соблюдении законодательно установленных правил обработки и хранения персональных данных.

    общедоступные персональные данные - Персональные данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.… … Справочник технического переводчика

    Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности … Большой юридический словарь

    ОБЩЕДОСТУПНЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными… … Делопроизводство и архивное дело в терминах и определениях

    Персональные данные общедоступные - Общедоступные персональные данные персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения … Официальная терминология

    ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – справочники, адресные книги и т. п. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя … Делопроизводство и архивное дело в терминах и определениях

    О - Обеспечение кредита (Security for credit, loan security, collateral) Обеспеченность производства запасами (number of days’, weeks’ stock) Обесценение активов (impairment of assets) … Экономико-математический словарь

    Сайт - Главная страница сайта Wikipedia.org Сайт (от англ. website … Википедия

>Что такое общедоступные персональные данные и какие виды информации к этому относятся?

Особенности

Общедоступные личные сведения представлены в таких источниках, как паспорт или другое удостоверение личности, водительское удостоверение, военный билет, трудовая книжка, диплом об образовании.

Не во всех случаях возникает необходимость в письменном разрешении на их использование, иногда достаточно подписи или «галочки», поставленной в нужной графе (например, при заполнении заявлений через интернет).

Сведения общего характера могут быть помещены в источники с свободным доступом. В них хранится информация о субъектах, к их числу относят разнообразные справочники с телефонными номерами или адресами.

Согласно «Перечня сведений конфиденциального характера» те из них, что подлежат распространению в средствах массовой информации, не являются конфиденциальными.

Обработкой занимаются специальные подразделения или органы, которые собирают, систематизируют, хранят, используют, а также уничтожают сведения. Контроль за законностью использования персональных данных осуществляют Роскомнадзор, ФСБ и ФСТЭК.

ФСТЭК - федеральная служба по техническому и экспортному контролю выдает лицензии организациям, оказывающим услуги другим лицам по созданию систем защиты персональных данных. Система защиты данных создается для своих нужд, лицензия на нее не требуется.

Физическое лицо вправе получить сведения об операторе, а также узнать конкретную цель, преследуемую оператором при обработке.

Субъект имеет полное право подавать заявку, одобрение которой позволяет уточнить, блокировать или уничтожить личные сведения в том случае, если они устарели, недействительны, неполные или их наличие не является обязательным при обработке.

Помимо всего прочего, физическое лицо вправе запросить у оператора доступ к своей личной информации, а также ознакомиться со средствами обработки сведений. Операторы – это специалисты, занимающиеся обработкой информации о человеке.

Органами по обработке персональных данных выступают все организации, которые собирают, обрабатывают, накапливают и хранят сведения о работниках, клиентах, поставщиках.

В каком случае они включаются в открытые источники?

Включение информации в общедоступные источники происходит в различных ситуациях, например:

  • при трудоустройстве и заключении трудового договора;
  • в процессе переписи населения;
  • установлении торговых отношений и т.д.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите.

Операторы обязаны организовать безопасность процесса работы. Они должны обеспечивать полную защиту личной информации субъектов от доступа к ней посторонних лиц.

В процессе сбора оператор обязан взять письменное разрешение на дальнейшую обработку. В письменное согласие на обработку включается информация о субъекте и об операторе (ФИО, адрес), цель обработки и перечень необходимых сведений, а также описание операций, которые будут производиться с ними.

    Гражданин, как владелец персональной информации о самом себе, может отозвать ранее подписанное разрешение на ее обработку. Если субъект недееспособен или в случае его смерти, согласие запрашивается у законных представителей или наследников. В основе действий оператора лежит Федеральный закон «О персональных данных».

    Нарушение закона пресекается уголовной, гражданской, административной или другими видами ответственности.

    Любая информация о физическом лице - субъекте персональных данных может быть исключена из общедоступных источников на основании требования субъекта, Роскомнадзора, решения суда или других государственных органов.

    Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

«Персона» — данные, которые касаются человека, личности, биологического организма.

Что такое, как собирать, где хранить, как защитить?

Дактилоскопическая карта – это персональные данные или нет?

В ней нет данных о личности.

персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Адрес – это регистрация по месту жительства или месту пребывания.

Условная классификация персональных данных.

1) по степени открытости:

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Общедоступные персональные данные – это данные, на которые дается добровольное согласие и размещаются в открытом доступе.

Часто некоторые владельцы сайтов запрашивают информацию для регистрации, которую не хочется предоставлять.

Конфиденциальная информация – информация предоставляется строго в определенных целях. Иногда может быть собрана без ведома лица.

В МВД хранится информация в информационных центрах

2) по принадлежности

— личные – принадлежат от рождения

— служебные – в ходе работы, службы – классный чин, и т.п.

3) по способу предоставления

— добровольно предоставленная информация

— предоставленная в общем порядке в соответствии с законодательством (принудительно)

— собранные без согласия гражданина в соответствии с законодательством

4) по характеру данные

— биометрические (дактилоскопическая информация)

Основные понятия, используемые при работе с персональными данными.

— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

— распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

Размещенную в Интернете информацию часто нельзя заблокировать.

Большинство персональных данных:

— хранятся на компьютере

— размещаются в Интернете

Проконтролировать размещение тяжело

— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; — ситуации, когда горели архивы

обезличивание персональных данных

— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обработка персональных данных.

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Если когда-то кто-то заполнил дактилоскопическую карту, то она есть в информационном центре в их базах данных. Мы не можем, например, объединить базы данных об обычных гражданах и лицах, совершивших преступление.

1) с согласия владельца персональных данных

2) без согласия владельца персональных данных.

Это относится к лицам, занимающим определенное положение и должность: военнослужащие, трупы

Конфиденциальность персональных данных:

Когда не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

— оператором, который осуществляет сбор и обработку персональных данных.

— ограничить доступ внутри собственной организации

Оператор несет персональную ответственность за распространение персональных данных

— установление ограничения доступа как в помещении, так и в сети (пропускная система, система карточной идентификации)

Для локальных сетей – система login+ пароль

Можно ограничить доступ по биометрической информации: отпечаток пальца, сетчатка глаза.

— о расовой принадлежности

— о политических взглядах

— о религиозных или философских убеждениях

— о состоянии здоровья

— об интимной жизни

Их обработка возможна только с согласия субъектов.

1) наличие письменного согласия субъекта на их обработку

2) если субъект персональных данных сделал их общедоступными

3) если данная информация относится к информации, необходимой для защиты жизни, здоровья и иных жизненно важных интересов лица

Такая информация может предоставляться в медико-профилактических целях – например, вирусная инфекция.

Особенность обработки персональных данных в государственных или муниципальных информационных системах обработки персональных данных.

— касается только государственных служащих и муниципальных служащих.

Государственный орган обладает собственным статусом, есть самостоятельные системы обработки информации о государственных или муниципальных служащих.

1) установлено, какая информация нужна в пределах своей компетенции

2) есть ещё ФЗ «О государственной гражданской службе», то есть регулируется не только законодательством о персональных данных.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, кроме следующих случаев:

1) совершение преступления

Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

— сбор информации с подозреваемого является незаконным

Обработка трансграничной информации.

Можно требовать в целях защиты граждан той страны, куда передается, собирается только с письменного согласия субъекта.

Права субъекта персональных данных.

1) Право субъекта персональных данных на доступ к своим персональным данным

Нельзя звонить в информационный центр МВД (главный информационный центр и зональный информационный центр)

2) Права субъектов персональных данных на обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Достоверность информации будет проверяться другими лицами.

3) принятие решений на основании исключительно автоматизированной обработки персональных данных. Человек может не доверять автоматизированной обработке. Можно требовать, чтобы следы пальцев хранились не только в компьютере, но и на бумаге.

— ТрудК РФ – есть глава, посвященная персональным данным.

ФЕДЕРАЛЬНЫЙ ЗАКОН О ГОСУДАРСТВЕННОЙ ДАКТИЛОСКОПИЧЕСКОЙ РЕГИСТРАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ от 25 июля 1998 года N 128-ФЗ

Общедоступные персональные данные это

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:

Его фамилия, имя, отчество,

Год, месяц, дата и место рождения,

Адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,

другая информация (см. ФЗ-152 , ст.3).

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных — это, как правило, организация, а точнее - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Субъект персональных данных — это физическое лицо.

Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

II. Определить объем персональных данных, обрабатываемых в информационной системе:

объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;

объем 2 от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):

Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;

Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Судный день отсрочен до 1 января 2011 года

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).

Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность .

Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.

Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:

Для ИСПДн класса 4:

Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

Для ИСПДн класса 3:

Декларирование соответствия или

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)

Для ИСПДн класса 2:

Обязательная аттестация по требованиям безопасности информации

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем

Для ИСПДн класса 1:

Обязательная аттестация по требованиям безопасности информации

Должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:

1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

2) Предпроектное обследование информационной системы - сбор исходных данных;

3) Классификация системы обработки персональных данных;

4) Построение частной модели угроз с целью определения их актуальности для информационной системы;

5) Разработка частного технического задания на систему защиты персональных данных;

6) Проектирование системы защиты персональных данных;

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:

— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),

Административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)

и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

ФСТЭК - Федеральная служба по техническому и экспортному контролю.

ПЭМИН - Побочные Электромагнитные Излучения и Наводки

Защита персональных данных

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступит в силу с 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

Обработка ИСПДн также может осуществляться по параметру «объем обрабатываемых персональных данных», который предполагает количество субъектов, обрабатываемых в информационной системе, и может принимать следующие значения:

  • одновременная обработка более чем 100 тысяч субъектов ПДн (выполняется как в пределах субъекта РФ, так и в РФ в целом);
  • одновременная обработка ПДн от 1 до 100 тысяч субъектов (выполняется в органе гос.власти, работающих в области экономики РФ);
  • одновременная обработка ПДн менее чем 1 тысячи субъектов (выполняется в пределах конкретной организации).

Разделение на категории позволяет не только определить класс ИСПДн, но и установить комплекс мер по обеспечению безопасности и защиты персональных данных в интернете, при обработке в инфосистемах.

Персональные данные работника

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п.2 ст.86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст.65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст.150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 300 до 500 рублей — для физических лиц; от 500 до 1000 рублей — должностных лиц, от 5 до 10 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Размещая информацию о себе в социальных сетях, не все наши граждане понимают, что она может быть использована для составления их профиля. Сбором и обработкой такой информации активно занималось АО «Национальное бюро кредитных историй» («НБКИ»).

Арбитражный суд города Москвы в мае 2017 года рассмотрел дело № А40-5250/17, в котором суду пришлось оценивать правомочность обработки таких персональных данных.

Суть спора

В августе 2016 года Управлением Роскомнадзора по Центральному федеральному округу была проведена плановая выездная проверка АО «Национальное бюро кредитных историй» («НБКИ») в части соответствия деятельности по обработке персональных данных требованиям законодательства.

По результатам проверки был составлен акт проверки и выдано предписание об устранении выявленного нарушения.

Расценив предписание в части необходимости включения в уведомление уполномоченного органа данных физических лиц (клиентов либо потенциальных клиентов финансовой организации) из открытых источников информации, передаваемых финансовой организации, полученных с использованием сервиса Double Data Social Link - web-ссылка, результат поиска о клиенте либо потенциальном клиенте, и сервиса Double Data Social Attributes - обработка профиля искомого физического лица в открытых источниках информации (пункт 1), а также в части указания на нарушение требований закона в виде отсутствия согласия на обработку содержащихся в открытых источниках (социальных сетях: ВКонтакте, Одноклассними, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональных данных клиента либо потенциального клиента финансовой организации, в рамках оказания услуги на основании сервиса «big data» (т.е. «большие данные» ) - незаконным и нарушающим права и законные интересы общества в сфере предпринимательской и иной экономической деятельности, последнее обратилось с иском в арбитражный суд.

Позиция Арбитражного суда города Москвы

Применительно к настоящему делу, суд отметил, что обработка персональных данных допускается в частности в следующих случаях:

  • Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его персональных данных (п. 1 ч. 1);
  • Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными субъектом ПДн) (п. 10 ч. 1);
Таким образом, говоря о персональных данных, сделанных субъектом ПДн общедоступными, необходимы два условия:
  • Персональные данные доступны неопределенному кругу лиц;
  • Персональные данные предоставлены непосредственно самим субъектом .
Без письменного согласия субъекта ПДн не представляется возможным утверждать, что они предоставлены именно им.

По мнению суда, персональные данные, сделанные общедоступными субъектом ПДн, могут содержаться только в общедоступных источниках ПДн.

Суд пришел к выводу о том, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к ПДн, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных ПДн применительно к положению ст.8 Закона.

Суд также отметил, что информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных (ст. 7 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Мой комментарий: Ну здесь суд слегка «загнул»; открытые данные - это совсем из другой оперы!

Суд сделал вывод о том, что персональные данные, обрабатываемые АО «НБКИ» в социальных сетях не были сделаны общедоступными субъектом ПДн в связи с чем в действиях заявителя усматриваются нарушения ч.3 ст.22 и п.1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Арбитражный суд отказал в полном объеме в удовлетворении заявления АО «НБКИ» о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО.

Позиция Девятого арбитражного апелляционного суда

Девятый арбитражный апелляционный суд июле 2017 года отметил, что общество внесено в реестр операторов, осуществляющих обработку персональных данных, под номером 08-0031682.

В рамках осуществления данного вида деятельности общество обрабатывает содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональные данные клиентов, потенциальных клиентов финансовых организаций. Согласие клиентов на обработку таких данных у общества отсутствует.

Общество считает, что обладает правом обработки персональных данных о лицах без их согласия. По мнению суда, обществом не учтено следующее.

По мнению апелляционного суда, не являются общедоступными обрабатываемые обществом персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру). По смыслу Закона о персональных данных, размещение персональных данных в указанных открытых источниках не делает их автоматически общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Девятый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда г. Москвы, а апелляционную жалобу – без удовлетворения.

Арбитражный суд Московского округа в ноябре 2017 года оставил без изменения, решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу без удовлетворения.

Позиция Верховного Суда Российской Федерации

Судья Верховного Суда Российской Федерации в январе 2018 года (определение № 305-КГ17-21291) отказала АО «Национальное бюро кредитных историй» в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ.

Мой комментарий: Обработка информации из социальных сетей – широко распространенный метод сбора и анализа информации о людях и организациях, и сбором такой информации о своих клиентах и контрагентах сейчас не занимается только ленивый. Суровая правда жизни в том, что тот, кто не проверяет таким образом своих потенциальных сотрудников, клиентов и контрагентов, на деле не проявляет должной деловой осмотрительности. Те, кто похитрее, стараются поменьше говорить на публику об этом, и по возможности не произносить слова «персональные данные».

Сбор информации о гражданах неизбежно влечёт за собой проблему законности таких действий, поскольку любая информации о гражданах является их персональными данными.

Отмечу, что какие бы предписания Роскомнадзор ни выдавал, если получение такой информации позволяет коммерческим организациям серьезно снизить риски финансовых потерь, обработка её все равно будет продолжаться. Ну разве что ещё немного подзаработают юристы, придумывающие правовое «прикрытие» для этой деятельности:)