Статья 7 конфиденциальность персональных данных. Субъективные признаки разглашения персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Судебная практика по статье 7 ФЗ от 27.07.2006 № 152-ФЗ

Определение от 22 апреля 2019 г. по делу № А75-2584/2018

Кассационной жалобой, в которой просило указанные судебные акты отменить, ссылаясь на нарушение и неправильное применение норм права. По смыслу части 1 статьи 291.1, части 7 статьи 291.6, статьи 291.11 Арбитражного процессуального кодекса Российской Федерации кассационная жалоба подлежит передаче для рассмотрения в судебном заседании Судебной коллегии Верховного Суда Российской Федерации, если...

Определение от 7 марта 2019 г. по делу № А57-1330/2018

Верховный Суд Российской Федерации

ВЕРХОВНЫЙ СУДРОССИЙСКОЙ ФЕДЕРАЦИИ № 306-ЭС19-132 ОПРЕДЕЛЕНИЕ г. Москва 7 марта 2019 г. Судья Верховного Суда Российской Федерации Самуйлов С.В., изучив кассационную жалобу арбитражного управляющего Хорошули Максима Игоревича (г. Воронеж; далее – Хорошуля М.И.) на решение...

Определение от 1 марта 2019 г. по делу № А40-58278/2018

Верховный Суд Российской Федерации

Ссылается на нарушение названными судебными актами его прав и законных интересов в результате неправильного применения судами норм права при рассмотрении дела. Согласно пункту 1 части 7 статьи 291.6 Арбитражного процессуального кодекса Российской Федерации по результатам изучения кассационной жалобы судья Верховного Суда Российской Федерации выносит определение об отказе в передаче кассационной жалобы для...

Постановление от 31 октября 2018 г. по делу № А57-1330/2018

Арбитражный суд Поволжского округа (ФАС ПО)

Управляющего Хорошуля Максима Игоревича о признании незаконным отказа Главного управления Министерства внутренних дел Российской Федерации по Саратовской области в предоставлении сведений от 01.11.2017 № 7 / 8-4545; об обязании предоставить копии договоров, на основании которых ставилось на регистрационный учет транспортное средство: VIN ХТТ396255С0454107, марка УАЗ 396255, 2012 г.в., г/н Р695СЕ163, ...

Решение от 29 октября 2018 г. по делу № А54-5773/2018

Гражданское

Суть спора: О создании, реорганизации и ликвидации организаций на основании исков налоговых органов

И завершения ликвидационной процедуры. Эти сроки в соответствии со статьей 118 Арбитражного процессуального кодекса Российской Федерации при необходимости арбитражным судом мо- гут быть продлены (пункт 7 Информационного письма Высшего Арбитражного Суда Российской Федерации от 13.08.2004 № 84 "О некоторых вопросах применения арбитражными судами статьи 61 Гражданского кодекса Российской Федерации"). С момента назначения...

Решение от 23 октября 2018 г. по делу № А54-6158/2018

Арбитражный суд Рязанской области (АС Рязанской области)

Решение от 23 октября 2018 г. по делу № А54-6380/2018

Арбитражный суд Рязанской области (АС Рязанской области)

Баланса и завершения ликвидационной процедуры. Эти сроки в соответствии со статьей 118 Арбитражного процессуального кодекса Российской Федерации при необходимости арбитражным судом могут быть продлены (пункт 7 Информационного письма Высшего Арбитражного Суда Российской Федерации от 13.08.2004 № 84 "О некоторых вопросах применения арбитражными судами статьи 61 Гражданского кодекса Российской Федерации"). С момента назначения...

Решение от 15 октября 2018 г. по делу № А45-30864/2018

Арбитражный суд Новосибирской области (АС Новосибирской области)

Злонамеренном обходе действия судебного акта, поскольку закон не предусматривает возможности подтверждать ничтожные решения. Рассмотрев исковые требования, суд пришел к следующим выводам. В соответствии с пунктом 7 статьи 49 Федерального закона от 26.12.1995 № 208-ФЗ «Об акционерных обществах» (далее – Закон № 208-ФЗ) акционер вправе обжаловать в суд решение, принятое общим собранием акционеров...

Разглашение персональных данных 137 УК РФ при определенных условиях дает возможность признать основанием для привлечения человека к уголовной ответственности. В нашей статье будут рассмотрены условия возникновения этой ответственности, в том числе в отношении лиц, имевших в силу служебного положения доступ к таким данным и разгласивших их.

Что такое персональные данные

Закон «О персональных данных» от 27.07.2007 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.

В частности, ими могут быть получены:

данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
данные о родственниках человека;
прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).

Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.

В организациях доступ к ПД обычно в силу служебных обязанностей имеют лишь руководители, сотрудники бухгалтерии, юридической и кадровой служб, а в государственных (особенно правоохранительных) и муниципальных органах он может быть и у множества рядовых сотрудников. Если такие работники будут использовать соответствующие ПД не по назначению, их может ожидать ответственность по ч. 2 или 3 ст. 137 УК РФ (наказание по которым гораздо строже, чем по ч. 1).

Разглашение персональных данных. Объект и предмет преступления

Уголовно наказуемое разглашение ПД посягает на отношения по обеспечению гарантированного конституцией РФ права на неприкосновенность частной жизни.

При этом разглашение ПД наказуемо по ч. 1 и 2 ст. 137 УК РФ лишь при условии, что эти данные соответствуют описанию предмета преступления, а именно:

являются сведениями о частной жизни;
относятся к семейной или личной тайне.

Определение понятия «частная жизнь» можно найти в судебной практике, согласно которой частной жизнью (в противовес общественной) признается жизнедеятельность индивида в сфере межличностных, семейных, интимных, бытовых отношений, неподконтрольных государству и обществу (определение КС РФ от 9.06.2005 № 248-О). Кроме того, в целях гражданско-правовой охраны частной жизни ст. 152.1 ГК РФ определяет, что информацией о ней являются сведения о личной и семейной жизни человека, его месте пребывания/жительства и происхождении.

Понятия «личная тайна» и «семейная тайна» являются оценочными. Наука уголовного права толкует их следующим образом:

к личной тайне следует относить любой факт биографии лица, который он не желает обнародовать (состояние здоровья, принадлежность к политическим движениям, род деятельности, материальное положение и т. д.);
семейная тайна отличается от личной по кругу носителей (сведения о внутрисемейных отношениях, образе жизни семьи, бытовых условиях и т. п.).

С 2013 года ст. 137 УК РФ дополнена ч. 3, предусматривающей особый предмет — данные, указывающие на личность потерпевшего по уголовному делу в возрасте до 16 лет, либо описание полученных таким потерпевшим моральных и физических страданий. Данные такого рода также относятся к ПД, так как по ним можно идентифицировать личность.

Разглашение каких персональных данных уголовно наказуемо (судебная практика)

Практика судов общей юрисдикции показывает, что понятие личной тайны трактуется предельно широко, в связи с чем привлечение к ответственности по ст. 137 УК РФ возможно за разглашение практически любых ПД. Отношение тех или иных сведений к личной или семейной тайне устанавливается на основании показаний потерпевшего.

Не знаете свои права?

Например, были признаны составляющими личную тайну:

Ф. И. О., адрес, паспортные данные, дата рождения, абонентский номер (постановление Стерлитамакского городского суда Республики Башкортостан от 19.04.2012 по делу № 1-249/12);
детализация телефонных соединений (приговор Соликамского городского суда Пермского края от 16.11.2011 по делу № 1-511/11);
сведения о перемещениях автомобиля (приговор мирового судьи СУ № 28 г. Самары от 25.02.2015 по делу № 1-6/2015).

Статья о распространении персональных данных, характеристика деяния

Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:

Сбор.
Распространение.
Распространение специальным способом: в СМИ, публичном произведении или в выступлении.

Для привлечения к ответственности необходимо, чтобы эти действия совершались:

незаконно (с любым нарушением процедуры, установленной законодательством);
без согласия субъекта ПД.

Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.

Для привлечения к ответственности по ч. 1 и 2 ст. 137 УК РФ неважно, наступили ли в результате действий какие-либо последствия, т. е. преступление имеет формальный состав. В ч. 3 рассматриваемой статьи деяние описано особо: публичное распространение (в СМИ, информационных сетях, выступлении или произведении) сведений о подростке младше 16 лет, выступающем потерпевшим по уголовному делу.

При этом для привлечения к ответственности за такое деяние необходимы альтернативно описанные последствия, чье наступление обусловлено деянием (перечень открытый):

вред здоровью несовершеннолетнего;
психическое расстройство несовершеннолетнего;
другие тяжкие последствия (к ним можно отнести, например, суицид, совершенный несовершеннолетним потерпевшим).

Субъективные признаки разглашения персональных данных

Разглашение ПД совершается только умышленно, вид умысла — прямой. Это означает для ч. 1 и 2 ст. 137, что виновный понимает опасность своих действий (разглашения ПД) и имеет твердое намерение их совершить. Для ч. 3 же возможен и прямой, и косвенный умысел. Это означает, что появляется отношение к последствиям действий, осознание их неизбежности или возможности наступления.

Ответственность по ст. 137 УК РФ наступает с 16-летнего возраста, однако для привлечения к ответственности по ч. 2 указанной статьи необходим специальный признак — использование виновным для разглашения ПД своего служебного положения.

ВАЖНО! Признак использования служебного положения не означает, что совершить преступление может только должностное лицо (в том смысле, как оно понимается уголовным законом). Использовать служебные возможности может любой работник, имеющий в силу должности доступ к ПД, т. е. конкретное место службы значения не имеет.

Определяющим критерием при установлении последнего признака служит то, что совершить преступление человеку позволили именно служебные возможности. Например, это может быть сотрудник кадрового подразделения предприятия, обладающий в силу должностного положения информацией о сотрудниках, отнесенной к ПД (паспортные данные, семейное положение и т. п.).

Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний

Лица, разгласившие ПД, могут быть подвергнуты только одному из наказаний, перечисленных в ст. 137 УК РФ, и только в указанных там пределах. Выбор конкретного вида и размера наказания осуществляется судом с учетом степени и характера опасности совершенного деяния, смягчающих и отягчающих обстоятельств, личности виновного и т. д. (ч. 3 ст. 60 УК РФ).

Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить:

Штраф. Может быть установлен как фиксированная сумма в пределах 100-300 тыс. руб., так и в размере зарплаты (или иного дохода) осужденного за период от 1 года до 2 лет.
Запрет на занятие определенной деятельностью или занятие каких-либо должностей в течение 2-5 лет.
Принудительные работы сроком до 4 лет. Они могут назначаться как самостоятельно, так и в сочетании с дополнительным наказанием, указанным в п. 2.
Арест на срок до 6 месяцев (в настоящее время этот вид наказания не применяется).
Лишение свободы сроком до 4 лет. Применяется только вместе одним из дополнительных наказаний, указанных в п. 2.

При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч. 4 ст. 47 УК РФ).

Поскольку рассматриваемым преступлением нарушаются личные неимущественные права, потерпевший имеет полное право на предъявление требования о возмещении морального вреда (ст. 151 ГК РФ).

В заключение стоит отметить, что по ст. 137 УК РФ приговоров выносится довольно много, то есть статья действительно работает. При этом ответственность может наступить за разглашение практически любых ПД.

Ежедневно люди выполняют множество операций в сети, которые предусматривают использование персональных данных гражданина. Большинство из них не знают простых правил безопасности при использовании интернета. По этой причине, правительство возложило обязанность по защите этих граждан на учреждения, использующие информацию о сотрудниках.

Основным правовым документом, регулирующим обработку персональных сведений различными организациями, является закон «О персональных данных» от 27.07.2006 года № 152-ФЗ.

Постановления закона распространяются на организации, которые работают с обработкой персональных сведений граждан или те, кто имеет к ним доступ.

Действия, которые не регулируются законом 152-ФЗ:

Персональные сведения обрабатываются физическими лицами для личных нужд. Необходимо отметить, что обработка не должна нарушать права обладателя данных;
Организация архивов, которая регулируется законодательством об архивации в Российской Федерации;
Обработка личных данных, которые содержат информацию, относящуюся к государственной тайне;
Личные данные, которые относятся к деятельности судебных органов и которые были представлены в судебном порядке;
Персональные сведения, относящиеся к деятельности судов.

А знаете ли вы, что закон с предыдущим номером 151, посвящен вопросу .

Когда принят?

152-ФЗ был принят Государственной Думой 8 июля 2006 года. Одобрил его Совет Федерации 14 июля 2006 года. Последняя редакция закона произошла 22 февраля текущего года. Действовала она до 1 марта 2017.

Порядок использования персональных данных

Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ.

Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования.

В обязанности оператора входит :

1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ.

2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями.

3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:

ФИО и адрес оператора;
С какой целью обрабатываются данные и на основании каких правовых актов;
Права гражданина, чьи данные были получены;
При помощи какого источника была получена личная информация.

4. Согласно положениям 152-ФЗ, оператор назначает ответственное лицо в определенной организации, которое организовывает обработку полученных материалов. Уполномоченное лицо получает указания по дальнейшим действиям от оператора.

Обработка личной информации по 152-ФЗ разрешается в следующих случаях:

Анализ личной информации вправе осуществляться с согласия гражданина, чьи данные были получены;
Если обработка информации требуется для достижения целей, предусмотренные законом РФ или международными договорами России;
Анализ информации необходим для судебной инстанции;
Обработка сведений требуется для защиты жизни гражданина;
Производится в статистических или исследовательских целях, за исключением целей, указанных в статье 15, 152-ФЗ.

Кстати, текст закона о почтовой связи тоже важно изучить. Подробности

Последние изменения ФЗ «О защите персональных данных»

Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения.

По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152.

Статья 3

В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений.

Статья 5

В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям.

Статья 7

В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела.

Статья 9

В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие.

При последней редакции, изменений в текущей статье не было.

Статья 19

19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе.

Скачать 152-ФЗ

Чтобы разрешить конфликтную ситуацию или иные вопросы, связанные с защитой персональных данных, изучите последнюю редакцию 152-ФЗ РФ. В представлены все поправки, дополнения и изменения. Скачать измененный закон можно по

Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность. Сущность юридического понятия персональных данных, необходимость законной защиты конфиденциальности частной жизни человека, ответственность за разглашение персональных данных — все эти вопросы рассмотрены в нашей статье.

Виды ответственности за разглашение персональных данных

Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.

Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу. При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.

Пример

Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.

Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.

Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.

Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр. Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).

Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.

Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье .

За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:

дисциплинарная — по ТК РФ;
административная — по КоАП РФ;
уголовная — по УК РФ.

Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.

Подробнее о дисциплинарной ответственности см. статью .

Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.

Уголовная ответственность по ст. 137 УК РФ

Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.

Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым. Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.

Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.

Уголовная ответственность определяется в виде:

либо штрафа;
либо обязательных, принудительных или исправительных работ;
либо лишения свободы.

Итоги

Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.

Информация – важнейший производственный фактор. Предприятия, которые ведут активную работу по накоплению и анализу данных, в современной экономической среде чувствуют себя гораздо увереннее. Благодаря анализу своей аудитории компания может повысить сумму среднего чека за счет бонусов, за которые готовы платить потребители.

Вы узнаете:

Что такое конфиденциальность персональных данных.
Какие ошибки сбора, хранения и конфиденциальности персональных данных наиболее часто допускаются в бизнесе.
Как обеспечить безопасность хранения и конфиденциальности данных.
Что такое политика конфиденциальности сайта и как ее составить.
Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года.

Сегодня информация является неотъемлемой составляющей эффективной работы предприятия. Однако следует также помнить, что крайне необходимо соблюдать конфиденциальность персональных данных.

Срочно проверьте своих партнеров!

Вы знаете, что налоговики при проверке могут цепляться к любому подозрительному факту о контрагенте ? Поэтому очень важно проверять тех, с кем Вы работаете. Сегодня, Вы можете бесплатно получить информацию о прошедших проверках Вашего партнера, а главное получить перечень выявленных нарушений!

Обработка, хранение и конфиденциальность персональных данных клиентов

Итак, в современных экономических условиях очень важна конфиденциальность персональных данных. Закон, регламентирующий отношения в рамках получения и обработки ПДн, – ФЗ «О персональных данных» №152 от 27.07.2006 г. В нем указана следующая информация:

ключевые термины, касающиеся обработки ПДн;
в соответствии с какими принципами и условиями должны обрабатываться персональные сведения;
какими обязанностями наделен оператор ПДн;
какими правами наделен субъект ПДн;
какие типы ответственности предусмотрены за нарушение требований №152-ФЗ;
какие госорганы контролируют соблюдение требований закона.

Персональные данные – это любые сведения, которые прямо или косвенно относятся к физическому лицу, которое называют субъектом персональных данных.

Оператор – это госорган, орган местного самоуправления, юридическое или физическое лицо, которое в отдельном порядке или вместе с иными лицами организует и (или) проводит обработку персональной информации, определяет, зачем это нужно, из чего должны состоять персональные данные, а также устанавливает, какие действия (операции) по отношению к ПДн необходимы.

Обработкой ПДн называют любую операцию или совокупность операций, которые совершают в отношении персональной информации с применением автоматизированных средств или без них. Если обрабатывают данные, значит, их собирают, записывают, систематизируют, копят, хранят, уточняют (обновляют, изменяют), извлекают, используют, передают (распространяют, предоставляют доступ), обезличивают, блокируют, удаляют, уничтожают.

Что такое конфиденциальность персональных данных, закон четко разъясняет. Однако он не уточняет, какая именно информация является персональной. Но, если отталкиваться непосредственно от названия «персональных данных», то это любые сведения, относящиеся к физическому лицу:

дата рождения;
адрес;
телефон;
e-mail;
фотография;
ссылка на персональный сайт;
ссылка на аккаунт в соцсетях.

Словом, это любая информация, по которой можно точно определить гражданина. Если вам предоставляют персональные сведения, вы становитесь оператором ПДн.

Субъект ПДн – это физическое лицо, которое можно определить на основе персональной информации. То есть, это человек, сведения о котором должны находиться под защитой.

Какими правами №152-ФЗ наделяет субъекта персональных данных

Право на доступ к своим ПДн. Субъект вправе получать сведения об операторе, узнавать, с какой именно информацией он работает; наделен правом прямого доступа к этой информации.
Право субъекта при обработке ПДн. Обработку ПДн, необходимую для того, чтобы продвигать на рынке товары, услуги, работы, а также в политических целях, можно проводить только с разрешения субъекта. Она недействительна, если субъект не давал на нее разрешения, только если оператор не доказал обратное. Если субъект требует завершить обработку ПДн, то оператор обязан сразу же выполнить это требование.
Права субъекта при вынесении решений на основании исключительно автоматизированной обработки его персональной информации. По закону РФ, недопустимо принимать решения относительно субъекта ПДн лишь на основании автоматизированной обработки, если нет его письменного согласия или же в ситуациях, описанных в федеральных законах.
Право субъекта обжаловать действия или бездействие оператора. Если, по мнению носителя персональных данных, оператор некачественно обрабатывает ПДн, чем нарушает его свободы и права, то гражданин всегда может обратиться в инстанцию, специализирующуюся на защите прав субъектов ПДн, или в судебный орган.

Субъект имеет право требовать возместить ему финансовые потери и компенсировать моральный ущерб через суд. Оператор персональных данных должен сообщать в Роскомнадзор об обработке и защищать эту информацию.

В законе также определено, когда оператор может не сообщать в службу об обработке ПДн:

если оператор и носитель персональных данных состоят в трудовых отношениях;
если оператор и субъект ранее заключили между собой договор, и ПДн требуются для исполнения обязательств по нему;
если ПДн относятся к членам религиозных и общественных организаций, и обработка ведется в соответствии с учредительной документацией и законодательством РФ;
если ПДн находятся в общем доступе;
если ПДн состоят только из ФИО;
если ПДн необходимы, чтобы получить однократный пропуск на территорию или для решения подобных задач;
если ПДн являются частью федеральных автоматизированных информационных систем и государственных информационных систем персональных данных;
если ПДн обрабатываются без использования автоматизированных средств в соответствии с законодательством РФ.

Статья 7 (конфиденциальность персональных данных) №152-ФЗ гласит, что операторам и иным лицам, которым доступны персональные данные, запрещено распространять эту информацию посторонним людям, если субъекты не давали на это своего согласия, или же это не предусмотрено законодательством.

Но множество компаний неверно полагают, что, если они не обязаны сообщать уполномоченной инстанции об обработке, то и действия, которые по закону должны выполнять операторы ПДн, тоже не обязательны к исполнению. Но это мнение ошибочно. Если операторы нарушают законодательные требования, касающиеся обработки, это расценивается как неисполнение законодательных норм. За подобные действия предусмотрено наказание.

Конфиденциальность персональных данных – это обязательное требование, которое должен соблюдать как оператор, так и любой другой человек, получивший доступ к ПДн. Конфиденциальность не обеспечивается лишь в том в случае, если:

персональная информация обезличена;
персональная информация находится в общем доступе.

Персональные данные перестают считаются конфиденциальными, если они обезличиваются, или же если с момента начала их хранения проходит 75 лет, если об ином не сказано в законодательстве РФ.

На основании №152-ФЗ, оператор персональных данных должен:

Обеспечивать безопасную обработку ПДн, то есть проводить необходимые мероприятия организационного и технического характера, направленные на конфиденциальность персональных данных и их защиту от взлома, уничтожения, внесения изменений, блокирования, копирования, распространения и иных незаконных действий.
Уведомлять уполномоченную инстанцию по защите прав носителей ПДн (Роскомнадзор) о том, что он намерен обработать персональную информацию. Роскомнадзор заносит в реестр операторов данные об операторе. Сведения в этом реестре общедоступны. Исключение составляет лишь информация о средствах обеспечения безопасности ПДн в ходе обработки.
Получать у носителей ПДн разрешение в письменном виде на обработку информации. Делать это оператор обязан, когда получает персональные данные (в том числе, от третьих лиц). Лишь после наличия разрешения он может приступить к обработке. Исключение составляют случаи, когда оператор получил ПДн в порядке, предусмотренном ФЗ, или же эта информация общедоступна. Следует подчеркнуть, что носитель данных вправе запретить обработку сведений о себе.
Предоставлять носителю ПДн по требованию всю имеющуюся о нем информацию, методах ее защиты, а также сообщать, с какой целью и в каких условиях будет проводиться обработка.

В обязанности оператора также входит уничтожение, блокировка соответствующих персональных данных, внесение в них изменений, которые предоставляет носитель ПДн или его законный представитель в связи с тем, что информация неполная, неверная, неактуальна, получена противозаконным путем или не соответствует обозначенной цели обработки.

Также оператор должен доказать, что субъект не возражает против обработки его ПДн. Если же обрабатываются общедоступные персональные данные, оператор обязан предъявить доказательства в пользу того, что информация открыта для всех.

Предоставлять уполномоченной инстанции по защите прав субъектов персональных данных по запросу сведения, необходимые для ее деятельности. В России работу операторов ПДн контролируют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности.

В законе также указано, когда разрешение носителя ПДн не требуется. Это ситуации, когда:

данные обрабатываются в соответствии с иными ФЗ;
между оператором и субъектом ПДн заключен договор, положения которого предполагают обработку информации об этом субъекте;
необходимо обработать ПДн, чтобы защитить жизнь, здоровье и иные жизненно важные интересы субъекта, но получить его согласие не представляется возможным, к примеру, из-за того, что физическое лицо госпитализировано;
необходимо обработать персональные данные, чтобы почтовые предприятия смогли доставить посылку;
данные нужно обработать журналисту в профессиональных целях, или же в целях научной, литературной или другой творческой деятельности. Но при этом интересы и права носителя ПДн должны быть соблюдены;
нужно обработать персональные данные для последующей публикации на основании ФЗ.

В иных ситуациях оператор обязан действовать в соответствии с нормами закона РФ по обработке информации и соблюдать конфиденциальность персональных данных. При нарушении законодательных норм в отношении оператора применяют уголовную, административную, гражданскую, дисциплинарную или иную ответственность.

Интересные факты про конфиденциальность персональных данных

В российском законодательстве отсутствует четко определенный перечень.

В №152-ФЗ персональные данные трактуются как любые сведения, относящиеся к определенному или определяемому на их основании физическому лицу (субъекту ПДн). Данное определение малоинформативно.

Различают три вида персональных данных.

Общие ПДн – это ФИО, адрес, номер телефона физического лица.
Специальные ПДн – это информация о расе, национальности субъекта, его политической позиции, философской и религиозной точки зрения, здоровье и половой жизни.
Биометрические ПДн – это физиологические особенности, анатомические характеристики, отпечатки ладоней, пальцев, сетчатка глаз, анализ ДНК и т. п.

Судебная практика по персональным данным.

В соответствии с имеющейся сегодня судебной практикой, к персональным данным относят:

ФИО физического лица, дату рождения (день, месяц, год), адрес. Речь в данном случае также идет о семейном, социальном, имущественном положении, образовании, профессии, доходах (Постановление по делу № А15-2016/2009 от 05.10.2010 г. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015 г. 19-й ААС).
Паспортные данные (см., например, Апелляционное определение Мосгорсуда от 22.05.2014 г. № 33-14709).

Некоторые суды придерживаются мнения, что по серии и номеру паспорта можно идентифицировать бланк документа, но не физическое лицо. Соответственно, это не ПДн (более подробно с этой информацией вы можете ознакомиться из определения Мосгорсуда от 29.02.2012 г. № 33-6709; Постановления Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).

Однако сложно признать эту позицию верной и обоснованной, поскольку по номеру и серии паспорта можно легко определить физическое лицо.

E-mail (это подтверждает, к примеру, Решение по делу № 12-253/2015 от 26.05.2015 г. Калининский районный суд (г. Санкт-Петербург).

Роскомнадзор неоднозначно подходит к вопросу, связанному с отнесением e-mail к персональным данным. На эту тему существуют разъяснения этой службы, где указано, что если в e-mail содержится ФИО, то его можно отнести к персональным данным. Если же адрес электронной почты состоит из набора букв и знаков, то это неправомерно.

Данные техпаспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 г. № 33-3718).
Адреса мест проживания индивидуальных предпринимателей, которые в себе содержит план проведения проверок юридических лиц и индивидуальных предпринимателей. План является общедоступным и должен находиться на официальном сайте администрации (см., к примеру, Апелляционное определение Волгоградского облсуда от 24.04.2014 г. № 33-4427/2014).
Информацию о пересечении госграницы (см., к примеру, Апелляционное определение Мосгорсуда от 10.04.2014 г. № 33-11688).
Адрес, по которому зарегистрировано должностное лицо, информация о его доходах, собственности, распространяемая в форме, не предусмотренной для официальной процедуры (к примеру, Определение Санкт-Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
Сведения о работнике, прописанные в трудовом договоре (см., к примеру, Апелляционное определение ВС Республики Саха (Якутия) от 23.10.2013 г. № 33-4172/13).

При отнесении информации к персональной нужно также учитывать и следующие моменты:

Подтверждение и проверка того, что сведения относятся к определенному физическому лицу, не требуются (в законе о подобных мероприятиях ничего не сказано). В связи с этим оператор фактически не имеет представления о том, реальная это информация или вымышленная. Однако обрабатывать ПДн он в любом случае обязан.
К персональной относят лишь ту информацию, по которой возможна идентификация физического лица (см., к примеру, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Мосгорсуда от 28.01.2014 г. №33-5461/14).

Более сложные категории ПДн.

Простыми персональными данными называют имя, фамилию и т. п. Однако есть и более сложные группы ПДн. К таковым относится IP-адрес, профиль в социальной сети и др.

По поводу данных групп ПДн даже у судов различные позиции.

Относительно IP-адреса в одном судебном решении есть неплохой правовой анализ, где говорится следующее: "Правовые последствия при идентификации юзера через установление его ПДн по статическому IP-адресу, который назначает оператор связи, постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на предоставление услуг доступа к интернету (если используется статический IP-адрес, то идентификация всех подключений пользователя всегда ведется по этому IP-адресу в сети связи) должны быть аналогичны правовым последствиям в тех случаях, когда оператор связи назначает IP-адрес пользовательскому оборудованию в автоматическом порядке, на время его подключения (период сессии) к интернету (динамический IP-адрес)". (Решение по делу № 2-5354/2015 от 24.09.2015 г. Октябрьский районный суд г. Самары (Самарская область)).

Отметим, по мнению одних судов IP-адрес не относится к ПДн (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015 г. 13-й ААС), а другие, напротив, считают, что относится (Решение по делу № А76-29008/2015 от 11.02.2016 г. АС Челябинской обл.).

Отнесение статичного IP-адреса к персональным данным достаточно логично, поскольку идентификация пользователя по нему очень проста. Однако у оператора может не быть сведений о том, какой IP-адрес является статичным. В подобных ситуациях следует считать все такие адреса персональной информацией. Соответственно, конфиденциальность персональных данных такого характера должна быть сохранена.

По поводу логина и пароля (от e-mail и социальной сети) разногласий меньше. По мнению Роскомнадзора, считать их ПДн неправомерно. Эту позицию он озвучивал много раз.

Некачественное обеспечение конфиденциальности персональных данных и другие ошибки, за которые штрафуют бизнес

Ошибка 1. Наличие формы обратной связи без политики конфиденциальности.

Сотрудники Роскомнадзора выяснили, что предприятие ТГЮК разместило на своем сайте форму обратной связи. Но документа о политике конфиденциальности, касающегося обработки персональной информации, на сайте не было. В итоге, на основании ст. 13.11 КоАП РФ, фирме выписали штраф, после чего она подала исковое заявление в суд.

Позиция компании заключалась в следующем: идентификация физического лица была невозможной, так как форма обратной связи состояла лишь из 3 элементов: имени, темы и текста сообщения. Соответственно, конфиденциальность персональных данных была соблюдена. При этом графу «имя» пользователи не обязаны были заполнять. Но судебный орган не принял эти аргументы во внимание и все же наложил на ТГЮК штраф (постановление Тамбовского областного суда от 04.10.2016 г. по делу №4А-288).

Как избежать штрафа: Если компания размещает на сайте подобную форму, то это считается сбором данных о физических лицах. Соответственно, фирма обязана действовать так, как оператор ПДн – сообщать в Роскомнадзор, что она намерена заняться сбором и обработкой персональной информации, получить разрешение носителя данных, выработать политику конфиденциальности и позаботиться о неограниченном доступе к ней. Если вы вырабатываете форму обратной связи, то в ней должна присутствовать функция получения согласия. То есть, перед тем как отправить анкету, пользователь обязан проставить галочку, подтвердив тем свое согласие на обработку персональных данных.

Ошибка 2. Передача личной информации третьим лицам.

Как осуществляется конфиденциальность персональных данных в договоре? Рассмотрим следующий пример. У гражданина образовался долг банковскому учреждению по кредиту. Банк заключил с коллекторским предприятием агентский договор «Морган энд Стаут». В соответствии с его условиями, банковская организация передала персональную информацию о должнике, и коллекторы начали звонить ему и его родственникам, обращаясь с требованием о погашении задолженности. Но при этом обрабатывать и передавать свои ПДн сторонним лицам гражданин не разрешал.

Заемщик потребовал прекращения противоправных действий и уничтожения всех персональных данных, но безрезультатно. Тогда он подал в суд иск с целью компенсации морального ущерба. Как отметил должник, у него требовали погасить долг в агрессивной форме, а потому он начал беспокоиться о здоровье, безопасности и жизни себя и своих родных.

Изучив все материалы дела, суд признал, что банк действовал незаконно, не обеспечил конфиденциальность персональных данных и постановил уничтожить всю персональную информацию о гражданине. Оба учреждения суд обязал компенсировать моральный вред (определение Ярославского областного суда от 05.03.2012 г. по делу №33-939/2012).

Как избежать штрафа: Передача персональных данных возможна исключительно с согласия физического лица, к которому они относятся. Исключения составляют случаи продажи предприятием долга на основании договора переуступки. В данном случае уже новый кредитор должен сообщать носителю ПДн о том, что личные сведения получены.

Ошибка 3. Обработка персональных данных без согласия.

Внеплановая проверка предприятия, проводимая сотрудниками Роскомнадзора, показала, что в листе кандидата на должность отсутствует поле для отметки о согласии на обработку ПДн. Генеральному директору вынесли предупреждение, с которым он не согласился и обратился в суд для обжалования. По словам руководителя, в компании сформировали комиссию, в обязанности которой вошла обработка данных. Он отметил, что при заполнении своих карточек сотрудники присутствуют лично. Помимо этого, в трудовом договоре указано, что работник согласен на обработку. Но эти аргументы, по мнению суда, явились недостаточными для отмены решения, а потому административное наказание все же было применено (постановление Самарского облсуда от 22.08.2016 г. №4а-907/2016).

Как избежать штрафа: Каждая типовая форма документации, предполагающая включение ПДн, должна содержать в себе поле для согласия на обработку. Вам следует провести аудит кадровой документации, чтобы удостовериться, что в бумагах проставлена соответствующая отметка.

Ошибка 4. Предприятие игнорирует отказы клиента получать рекламные сообщения.

Один из клиентов Сбербанка отменил свое согласие на обработку ПДн через «Почту России». Но прошел месяц, и гражданину на телефон пришло рекламное сообщение из банка с предложением оформить кредит. В ответ гражданин подал исковое заявление в суд о незаконной обработке ПДн. Он счел, что банк не обеспечил конфиденциальность персональных данных.

Позиция ответчика заключалась в том, что сообщение содержало в себе не рекламу, а индивидуальное предложение. Помимо этого, текст сообщения не включал в себя информацию, на основании которой была бы возможна идентификация физического лица. Соответственно, использования личных сведений не было, и конфиденциальность была соблюдена.

Но суд принял сторону истца – банковское учреждение знало его номер телефона и ФИО. В соответствии с решением суда, Сбербанк обязали компенсировать истцу моральный ущерб в размере 100 тыс. руб. (определение Новосибирского облсуда от 02.04.2015 г. по делу №33-2662/2015).

Как избежать штрафа: не следует игнорировать разного рода обращения физических лиц – субъектов ПДн. С 1 июля 2017 г. за это предусмотрен штраф в размере 40 тыс. руб. Физическое лицо имеет право отозвать согласие на обработку своих персональных данных, а также узнать, кто работает с его данными, с какой целью, какими способами, в какие сроки осуществляется обработка, какая именно информация о нем хранится. Назначьте работника, предоставляющего сведения по запросам физических лиц. Его контактная информация должна быть общедоступной.

Ошибка 5. Сбор сведений о физлицах без локализации.

Сотрудники Роскомнадзора в рамках анализа нарушений в интернете определили, что известная социальная сеть LinkedIn не выполняет требований по обеспечению записи, систематизации, накоплению, хранению и извлечению ПДн россиян, то есть, не соблюдает конфиденциальность персональных данных. Специалисты службы обязали компанию устранить нарушение, однако требование выполнено не было. Организация аргументировала свой отказ тем, что персональные данные граждан обрабатываются и хранятся за рубежом. Однако суд заметил, что если сайт имеет русскоязычную версию, он занимается сбором ПДн россиян, и, соответственно, обязан выполнять нормы действующего законодательства, в частности, обеспечивать конфиденциальность персональных данных. В итоге суд признал, что сайт ведет незаконную деятельность, к нему ограничили доступ, а саму организацию занесли в реестр нарушителей прав субъектов ПДн (определение Мосгорсуда от 10.11.2016 г. по делу №33-38783/2016).

Как избежать штрафа: В обязанности оператора при сборе персональной информации входит обеспечение локализации ПДн субъектов. Соответствующий закон действует с 1.09.2015 г. Проверьте информационные системы/базы данных, выявите их месторасположение и сформируйте список. Требование, связанное с локализацией ПДн, является обязательным и действует в отношении первичного сбора данных. Обрабатывать и хранить информацию можно за границей.

Рассказывает практик

Обработка персональных данных – дополнительная зона ответственности

Елена Денисова ,

руководитель коммерческой практики, CLIFF

По мнению многих предпринимателей, их деятельность напрямую не связана с обработкой ПДн, так как они просто собирают такую информацию, чтобы знать свою аудиторию. Также значительная часть бизнесменов полагает, что сайт в интернете – это не инструмент автоматизированной обработки, а потому они не собирают личную информацию о пользователях, соответственно, не должны обеспечивать конфиденциальность персональных данных. Но в соответствии с Законом, оператор ПДн – это любое лицо, как физическое, так и юридическое, организующее и осуществляющее обработку персональных сведений и определяющее цели их сбора.

Чтобы не столкнуться с проблемами хранения и применения ПДн и следовать законодательным требованиям, необходимо:

Выявить, в каком порядке, объеме и в какое время вы получаете информацию о своих потребителях. Если сведений, по которым можно точно определить клиента, вы не получаете (а получаете лишь e-mail и при этом не предлагаете пройти регистрацию и оставить контактную информацию, то есть, не получаете никаких данных от клиента и работаете на конфиденциальных условиях), то вы не имеете дела с ПДн. Во всех иных ситуациях вам следует четко соблюдать законодательные требования, касающиеся обеспечения конфиденциальности персональных данных.
Определить, как ваша компания будет получать от клиента согласие на обработку его персональной информации. Согласие субъекта необходимо, если вы планируете проводить торговые операции и вести любую деятельность по продвижению товаров, услуг, работ на рынке, используя прямой контакт клиента (посредством SMS-сообщений, телефонных звонков, e-mail и проч.). Отметим, при возникновении спорной ситуации оператор, то есть, ваше предприятие, обязан доказать факт получения от клиента согласия (в любой форме, не обязательно в письменном виде). В связи с этим следует выработать правила, в соответствии с которыми нужно собирать, обрабатывать, хранить и уничтожать ПДн, а также специальную форму согласия на проведение этих мероприятий (см. материал для скачивания). При этом клиент может не давать своего согласия, если данные обрабатываются с целью выполнения условий договора, участником которого он выступает, то есть, если сведения использует лишь ваша фирма, не передает ее посторонним лицам и только для того, чтобы оформить сделку купли-продажи с покупателем.
Убедиться, что в будущем удастся доказать факт получения согласия от клиента. Мало просто разместить на сайте правила и форму согласия на обработку ПДн. В случае спора это не поможет вам избежать штрафов контролирующих инстанций. У вас должен быть подписанный клиентом документ, из которого будет ясно прослеживаться его согласие на использование ПДн. Также в нем должно быть упомянуто о видах и целях обработки персональной информации. Если вы не будете располагать таким документом, то вас могут привлечь к ответственности. Безусловно, в качестве доказательства может выступать бумажная анкета с подписью покупателя, однако для торговли в интернете этот вариант не подходит.

Роскомнадзор считает, что в качестве согласия на использование персональной информации на сайте может выступать файл электронной цифровой подписи. Помимо этого, предложения оператора о продаже товара в некоторых ситуациях могут быть рассмотрены в качестве публичной оферты. То есть, когда носитель ПДн соглашается на оферту в момент оформления заказа или регистрации, то одобряет использование своих персональных сведений, оставленных продавцу. Судебные органы считают, что компаниям лучше позаботиться о наличии на своем сайте веб-метки, которая означает, что клиент согласен с правилами и порядком обработки ПДн (постановление ФАС СЗО от 13.12.2010 г. по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу №33-2064).

Конфиденциальность и защита персональных данных: 4 инструмента

Конфиденциальность персональных данных может быть обеспечена исключительно в той информационной среде, в которой злоумышленники не могут вмешаться в работу ее основных элементов, таких как сетевые устройства, операционные системы, приложения и система управления базами данных (СУБД).

Антивирусы.

Один из действенных методов борьбы с утечкой конфиденциальных данных – защита от вирусов. Нередко из-за влияния вирусов, червей и иных вредоносных программ происходит утрата информации по скрытым каналам. В современные антивирусы включена не только сигнатурная защита, но и более инновационные методы. Речь идет, в частности, о поведенческом анализе программ, экранах уровня приложений, контроле над целостностью критической для операционной системы информации и иных способах защиты, которые обеспечивают конфиденциальность персональных данных.

Межсетевые экраны.

Необходимо обеспечить эффективную защиту не только всей корпоративной сети, но и каждому отдельному рабочему месту от массовых вирусных атак, а также от целенаправленных атак в сети. Здесь достаточной будет установка системы блокировки неиспользуемых сетевых протоколов и сервисов. Отметим, что именно эти функции и выполняет межсетевой экран. Нередко к его функциональности добавляют также средства организации виртуальных частных сетей – VPN.

Системы предотвращения вторжений.

Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливают в разрыв сети. Такие сети предназначены для того, чтобы выявлять в проходящем трафике признаки нападения и блокировать обнаруженную наиболее популярную атаку. Это обеспечивает в конечном итоге конфиденциальность персональных данных.

IPS отличаются от шлюзовых антивирусов тем, что выполняют анализ не только содержимого IP-пакетов, но и применяемых протоколов и корректности их использования. IPS способны обеспечить защиту от большего числа атак, в отличие от шлюзовых антивирусов. Системы предотвращения вторжений выпускают фирмы, основная специализация которых – сетевая защита, например, Check Point и McAfee (продукт Network Security Platform), так и компании, производящие сетевое оборудование – Juniper и Cisco.

Сканеры уязвимостей.

Общие средства защиты – это и сканеры уязвимости, проверяющие операционные системы и программное обеспечение на наличие разного рода «брешей». Обычно это самостоятельные программы или устройства, которые тестируют систему следующим образом: направляют специальные запросы, имитирующие атаку на протокол или приложение. Среди самых популярных продуктов в этой категории можно выделить MaxPatrol, группу продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Однако сейчас выпускают и пассивные сканеры, просто сканирующие трафик и выявляющие вероятные уязвимые места.

Вышеперечисленные инструменты – общие для всей сети и напрямую не относятся к защите персональных сведений. Но их наличие обговаривают в отдельном порядке, а потому этими основными средствами должен располагать каждый оператор персональных данных, причем даже для минимального уровня К4, где сам оператор может выбирать средства защиты.

В данный момент комплект инструментов для защиты от утечки персональной информации только формируется. Существует 3 категории таких продуктов:

Системы контроля периферийных устройств.

Зачастую утечки ПДн происходят через съемные информационные носители и несанкционированные каналы связи, среди которых флэш-память, USB-диски, Bluetooth или Wi-Fi, в связи с чем необходимо контролировать и периферийные устройства. Это позволяет избегать утечек и обеспечить конфиденциальность персональных данных. На рынке есть определенные инструменты, относящиеся к данной категории, к примеру, от производителей SmartLine и SecureIT.

Системы защиты от утечек (Data Leak Prevention, DLP).

Благодаря системам защиты от утечек можно при помощи особых алгоритмов вычленить из потока информации конфиденциальную и предотвратить ее несанкционированную передачу, поставив блок. В DLP-системах существует ряд механизмов контроля различных каналов передачи данных – e-mail, мгновенных сообщений, web-почты, печати на принтере, сохранения на съемном диске и проч. При этом такие системы ставят блок на утечку только конфиденциальной информации, так как оснащены встроенными механизмами для определения степени секретности данных, благодаря чему достигается высокая конфиденциальность персональных данных.

Методы шифрования.

Методы шифрования применяются в процессе передачи персональной информации по сети в распределенной системе. Вы можете пользоваться продуктами класса VPN, основой которых обычно является шифрование. Но системы данного типа должны быть сертифицированными и тесно интегрированными с базами данных, в которых хранится персональная информация.

Благодаря инструментам, перечисленным выше, можно избежать утечек информации, в том числе персональной, то есть, обеспечить конфиденциальность персональных данных. При этом методы могут быть использованы и для того, чтобы защищать иную, критическую для организации, информацию. Но стоит учитывать, что для исполнения требований закона «О персональных данных» необходимо использовать сертифицированные средства защиты, одобренные ФСТЭК.

Политика о конфиденциальности персональных данных на сайте : пошаговая инструкция

Политика конфиденциальности – это тоже оферта (соглашение), но только касающаяся вопросов использования персональной информации пользователей. Если юзер принял (акцептовал) предложенные ему условия и правила, значит, дал согласие на обработку персональных данных.

То есть, пользователь может:

зарегистрироваться/авторизоваться;
проставить в полях соответствующие отметки;
выполнить действия в определенной последовательности;
использовать функционал сайта.

Все эти действия будут свидетельствовать о том, что пользователь принял правила обработки его ПДн.

Лучше применять описание не одной формы акцепта, а их совокупность, указывая, к примеру, что пользователь согласился с правилами Политики конфиденциальности, нажав соответствующую кнопку или проставив отметку в поле для Регистрации на любой стадии регистрации или в любой момент пользования интернет-ресурсом.

Универсальный шаблон Политики конфиденциальности пока не выработан. Когда вы ее разрабатываете, то так или иначе должны принимать во внимание особенности работы ресурса, его назначение, функциональные особенности, численность целевой аудитории, то, в каких объемах клиенты оставляют сведения о себе.

На основе анализа существующего законодательства в области обработки персональной информации появилась возможность сформулировать ряд рекомендаций для владельцев сайтов по содержанию Политики конфиденциальности:

Шаг 1. Если хотите, в Политику конфиденциальности можете включать главу с терминами и определениями. Однако это необязательно. Чтобы обеспечить удобство юзеров и унифицировать документацию на сайте, вы можете включить соответствующую главу с терминами и их расшифровкой – едиными как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «сайт», «владелец сайта», «пользователь», «личный кабинет» и проч.).

Если даже у вас на сайте отсутствует такой раздел в Политике конфиденциальности, вы, как владелец, никаких рисков из-за этого не несете.

Шаг 2. Выделите общие положения и опишите у них:

Предмет регулирования Политики.
Формы акцепта юзера с правилами Политики и обработкой ПДн.
Место разрешения спорных ситуаций, которые вытекают из Политики, с оговоркой (к примеру, вы можете указать, что все возможные споры по поводу Политики конфиденциальности и отношений между гражданином и владельцем интернет-ресурса будут разрешаться через суд по месту пребывания владельца сайта в соответствии с нормативами РФ, если об ином не сказано в федеральном законе). Оговорка требуется в целях соблюдения действующих норм законодательства. Если же в Политике указано, что споры должны разрешаться по месту пребывания Администрации сайта, пользователь заблаговременно будет знать об этом.
Порядок внесения изменений в Политику и обновления данного документа (к примеру, «Администрация сайта вправе менять и (или) вносить дополнения в Политику конфиденциальности, при этом специально не уведомляя пользователя об этом. Политика конфиденциальности в новой редакции вступает в силу с того момента, как размещается на странице сайта, если об ином не сказано в новой редакции Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу…»). Если пользователь никак не реагирует, это означает, что он согласен с изменениями и (или) дополнениями в Политике конфиденциальности.
Отсутствие доступа к информации, которую гражданин оставляет на сайтах третьих лиц. Это может быть связано с тем, что пользователь оплачивает услуги и предоставляет свои платежные данные.

Здесь следует четко прописать, к примеру, следующее: «пользователь признает и подтверждает, что любую информацию, включая, например, данные банковских карточек, напрямую или косвенно связанные с оплатой услуг или сервисов, он размещает на страницах сайтов третьих лиц, которые не имеют отношения к владельцу сайта; Администрации сайта такая информация недоступна, она не собирает, не систематизирует, не хранит, не уточняет, не обновляет и не изменяет, не использует, не распространяет (в том числе, не передает), не обезличивает, не блокирует, не уничтожает такие данные, не осуществляет трансграничную передачу – словом, не проводит в их отношении никаких операций.

Шаг 3. Вам следует зафиксировать тот факт, что вы предоставили согласие пользователю на использование его ПДн. Это крайне необходимо в любой политике конфиденциальности. Укажите, что когда пользователь соглашается на обработку своих данных, то руководствуется собственными интересами и делает это по собственной воле. Пользователь соглашается на обработку информации с того момента, как регистрируется на сайте и (или) совершает иные действия, связанные с пользованием сервисами или возможностями интернет-ресурса.

Шаг 4. Необходимо обозначить, с какой целью вы предоставляете согласие, например, чтобы:

заключать с Администрацией интернет-ресурса соглашения, договоры, которые напрямую предусматривает Политика, а также иные соглашения, размещенные на сайте, и их последующее исполнение;
участвовать в организуемых акциях, а также принимать решения и выполнять иные мероприятия с разного рода юридическими последствиями в отношении пользователя или иных лиц;
принимать и обрабатывать запросы;
информировать клиентов о состоянии запроса и услугах, к примеру, при помощи сообщений по e-mail или по SMS;
улучшать качество работы интернет-ресурса;
проводить статистические и иные исследования на основании обезличенной информации.

Вполне могут иметь место любые варианты, причем одновременно. Но основная в данном случае цель – первая в данном списке. То есть она заключается в использовании персональных данных, чтобы заключать соглашения, договоры с владельцем интернет-ресурса и исполнять их. Благодаря этому варианту можно будет объяснить отсутствие согласия на обработку персональной информации «на бумаге» в случае проблем с Роскомнадзором, и разъяснить, почему владелец не направил в данную инстанцию уведомления.

Шаг 5. Следует описать, из чего состоят персональные данные.

К персональной относится далеко не вся информация о пользователе. Персональные данные, как уже было отмечено, позволяют точно определить гражданина. К ним относятся, к примеру, ФИО, адрес места проживания, а также паспортные данные. Конфиденциальность персональных данных клиентов – обязательное к соблюдению условие для всех организаций.

В Политике конфиденциальности вы можете указать, что согласие пользователя распространяется на ФИО, адрес места проживания, телефонный номер и любые другие данные, относящиеся к личности человека, которыми сейчас располагает Администрация сайта.

Шаг 6. Обозначьте период, в течение которого действует согласие.

Вы можете указать, что согласие гражданина действует до тех пор, пока не истекут сроки хранения соответствующих сведений или документации, в которых содержится обозначенная выше информация. Эти сроки определяет законодательство РФ. По истечении указанного периода пользователь может отозвать свое согласие, направив соответствующее уведомление (в письменном виде) владельцу сайта. Сделать это он обязан не менее чем за 3 месяца до момента отзыва согласия.

Шаг 7. Зафиксируйте объем возможных действий по обработке.

Помните, что чем больше возможных действий с персональной информацией вы опишете, тем лучше. Вы можете указать, что согласие предоставляется на проведение любых операций без ограничений персональными данными, необходимыми или желаемыми для решения обозначенных выше задач. То есть, вы, как владелец сайта, получая персональные данные пользователя, с его согласия можете собирать, систематизировать, копить, хранить, уточнять (обновлять, изменять), использовать, распространять (в том числе, передавать), обезличивать, блокировать, уничтожать, осуществлять трансграничную передачу ПДн, а также выполнять иные процедуры с личной информацией гражданина в соответствии с действующими законодательными нормами РФ.

Шаг 8. Обозначьте методы обработки ПДн.

Укажите, как вы собираетесь использовать персональные данные пользователя – хранить, записывать на электронные носители с их последующим хранением, формировать перечни или как-то иначе.

Шаг 9. Обозначьте, что у вас есть право раскрытия персональных данных третьим лицам.

Зафиксируйте свое право, как владельца сайта, передавать данные третьим лицам, если необходимо достичь той или иной цели, обозначенной в Политике. Также вам следует обозначить, что пользователь не возражает против передачи его данных.

Шаг 10. Установите, в каком порядке будут отправляться юридически значимые сообщения.

Чтобы урегулировать поток обращений от пользователей, связанных с обработкой информации, необходимо усложнить процесс взаимодействия с Администрацией интернет-ресурса. Как? Например, определить письменную форму подобных обращений и способ их отправки – по e-mail или через курьера. В дополнительном порядке укажите, что если формат обращений не будет соблюден, обращения и уведомления пользователя останутся нерассмотренными.

Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года

С 1.07.2017 г. в силу вступил ФЗ от 07.02.2017 г. № 13-ФЗ, вносящий поправки в ст. 13.11 Кодекса об административных правонарушениях. Так, на основании данного ФЗ предусмотрено расширение списка оснований, по которым на нарушителей могут наложить административное взыскание за незаконную обработку персональной информации и существенно повысить штрафы.

Основание	Размер штрафа
Основание	Физические лица	Должностные лица	Юридические лица
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн	предупреждение или штраф - от 1000 до 3000 руб.	предупреждение или штраф - от 5000 до 10 000 руб.	предупреждение или штраф - от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта	от 3000 до 5000 руб.	от 10 000 до 20 000 руб.	от 15 000 до 75 000 руб.
	от 700 до 1500 руб.	от 3000 до 6000 руб.	от 15 000 до 30 000 руб.	от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработке	предупреждение или штраф - от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 6000 руб.	предупреждение или штраф - от 20 000 до 40 000 руб.	предупреждение или штраф - от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	предупреждение или наложение штрафа в размере от 1000 до 2000 руб.	предупреждение или штраф - от 4000 до 10 000 руб.	предупреждение или штраф - от 25 000 до 45 000 руб.	предупреждение или штраф - от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования	от 700 до 2000 руб.	от 4000 до 10 000 руб.	от 25 000 до 50 000 руб.	от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн		предупреждение или наложение административного штрафа - от 3000 до 6000 руб.

Конфиденциальность персональных данных за рубежом

США.

В Штатах намеренно не принимают федеральный закон о защите ПДн, отдавая предпочтение законам, касающимся отдельных областей жизни. В 1988 г. видеопрокатам в США запретили публичное разглашение информации о том, какие видеокассеты берут клиенты. Такой запрет на прокаты наложили после утечки в СМИ списка видеокассет, арендованных кандидатом в судьи ВС РФ Робертом Броком. Отметим, в списке значились вполне приличные фильмы.

Очень важное значение в США имеет конфиденциальность персональных данных, передаваемых за границу. В Штатах в этом отношении действует то же правило, что и в Европе – принимающее государство должно защищать персональную информацию на должном уровне.

Непринятие общего закона о защите персональных данных в США связано со специфической экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Например, свободу слова в конституции гарантирует первая поправка. Что же касается права на неприкосновенность частной жизни, то она в ней прямо не прописана и лишь подразумевается. Однако все это не мешает отдельным штатам выдвигать инициативы. С 2014 г. в Калифорнии действует закон, обязывающий сайты оповещать пользователей, отслеживаются их действия или нет. С 2015 г. поведение несовершеннолетних граждан в США не отслеживают, как и в Европе.

Азия.

Сегодня в странах Азии действует закон о защите персональной информации в интернете. Исключение составляет лишь Китай и большая часть государств Ближнего Востока. В Индии закон о соблюдении конфиденциальности персональных данных не имеет силы за пределами страны. И, заметим, он не очень жесткий. Большую часть граждан Индии не волнует конфиденциальность персональных данных. Из информации на сайтах знакомств можно легко узнать, какую группу крови имеет тот или иной пользователь, кто ВИЧ-инфицирован. При этом правительство наделено обширными полномочиями доступа к персональной информации, а для поиска номера мобильного телефона нередко достаточно вбить имя гражданина в строку поиска.

Закон о защите персональных данных, в том числе, в интернете, приняли в 2005 году. Иностранные организации с офисом в Японии должны детально разъяснять, с какой целью они хранят ПДн, если эти сведения касаются хотя бы 5 тыс. клиентов и работников.

Отметим, японцы очень осторожно относятся к распространению своих персональных данных, даже если случаются природные катаклизмы – землетрясения или госпитализации человека. Конфиденциальность персональных данных крайне важна для них. При этом время от времени происходят крупные утечки информации и незаконные сделки по их продаже. В последние годы развитие интернета опережает закон. Нормы, выработанные лет десять назад, не учитывают существования облачных сервисов и социальных сетей.

В Сингапуре в 2013 г. приняли закон, подобный тому, что в данный момент рассматривает Совет Европы. Сегодня законодательство именно этого государства наиболее прогрессивно во всей Азии в отношении хранения ПДн.

Южная Америка.

В Южной Америке был громкий скандал с Эдвардом Сноуденом, отчасти приведшим к принятию закона Marco Civil da Internet. Значительное место в законе отведено вопросу защиты персональной информации. Жители Бразилии относятся к конфиденциальности ПДн практически так же, как в Европе, но с некоторыми нюансами.

Совместно с Германией Бразилия продвинула в ООН первую резолюцию о защите ПДн в сети. В резолюции было сказано о том, что право на конфиденциальность персональных данных должно быть обеспечено и в реальной жизни, и в интернете. Отметим, в Бразилии электронная переписка защищается в таком же порядке, что и обычная.

Что же касается остальной Южной Америки, там законопроекты о конфиденциальности персональных данных обычно рассматривают в течение нескольких месяцев, а то и лет.

Единственная страна, где требования о защите персональной информации в интернете выполняются в полном объеме? – это Аргентина.

Информация об экспертах

Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт - www.cliff.ru