Розміщуючи інформацію про себе в соціальних мережах, не всі наші громадяни розуміють, що вона може бути використана для складання їх профілю. Збором і обробкою такої інформації активно займалося АТ «Національне бюро кредитних історій» ( «НБКИ»).

Арбітражний суд міста Москви травнем 2017 року розглянув справу № А40-5250 / 17, в якому суд змушений був оцінювати правомірність обробки таких персональних даних.

суть спору

У серпні 2016 Управлінням Роскомнадзора по Центральному федеральному округу була проведена планова виїзна перевірка АТ «Національне бюро кредитних історій» ( «НБКИ») в частині відповідності діяльності по обробці персональних даних вимогам законодавства.

За результатами перевірки було складено акт перевірки та видано припис про усунення виявленого порушення.

Розцінивши припис в частині необхідності включення в повідомлення уповноваженого органу даних фізичних осіб (клієнтів або потенційних клієнтів фінансової організації) з відкритих джерел інформації, що передаються фінансової організації, отриманих з використанням сервісу Double Data Social Link - web-посилання, результат пошуку про клієнта або потенційного клієнта , і сервісу Double Data Social Attributes - обробка профілю шуканого фізичної особи у відкритих джерелах інформації (пункт 1), а також в частині зазначення на порушення вимог закону у вигляді відсутності згоди на обробку містяться у відкритих джерелах (соціальних мережах: ВКонтакте, однокласній, Моймир , Instragram, Twitter; інтернет-порталів Авито і Авто.ру) персональних даних клієнта або потенційного клієнта фінансової організації, в рамках надання послуги на підставі сервісу «big data» ( тобто «Великі дані») - незаконним і таким, що порушує права і законні інтереси суспільства в сфері підприємницької та іншої економічної діяльності, останнім звернулося з позовом до арбітражного суду.

Позиція Арбітражного суду міста Москви

У межах цього справі, суд зазначив, що обробка персональних даних допускається зокрема в наступних випадках:

• Обробка ПДН здійснюється за згодою суб'єкта ПДН на обробку його персональних даних (п. 1 ч. 1);
• Здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом ПДН або на його прохання (персональні дані, зроблені загальнодоступними суб'єктом ПДН) (п. 10 ч. 1);

Таким чином, кажучи про персональні дані, зроблених суб'єктом ПДН загальнодоступними, необхідні дві умови:

• Персональні дані доступні невизначеному колу осіб;
• Персональні дані надані безпосередньо самим суб'єктом.

Без письмової згоди суб'єкта ПДН не представляється можливим стверджувати, що вони надані саме їм.

На думку суду, персональні дані, зроблені загальнодоступними суб'єктом ПДН, можуть міститися тільки в загальнодоступних джерелах ПДН.

Суд прийшов до висновку про те, що інформація про суб'єкта (в тому числі персональні дані), що містяться в соціальних мережах (в мережі Інтернет), не може бути віднесена до ПДН, зробленим суб'єктом загальнодоступними, оскільки соціальні мережі не є джерелом загальнодоступних ПДНстосовно стану ст.8 Закону.

Суд також зазначив, що інформація, що розміщується її володарями в мережі «Інтернет» в форматі, що допускає автоматизовану обробку без попередніх змін людиною з метою повторного її використання, є загальнодоступною інформацією, що розміщується в формі відкритих даних (ст. 7 Федерального закону від 27.07.2006 №149-ФЗ «про інформацію, інформаційні технології і про захист інформації»).

Мій коментар:Ну тут суд злегка «загнув»; відкриті дані - це зовсім з іншої опери!

Суд зробив висновок про те, що персональні дані, оброблювані АТ «НБКИ» в соціальних мережах не були зроблені загальнодоступними суб'єктом ПДН в зв'язку з чим в діях заявника вбачаються порушення ч.3 ст.22 та п.1 ч.1 ст.6 Федерального закону від 27.07.2006 №152-ФЗ «Про персональних даних».

Арбітражний суд відмовив в повному обсязі в задоволенні заяви АТ «НБКИ» про визнання недійсними пунктів 1 і 4 приписи Управління Роскомнадзора по ЦФО.

Позиція Дев'ятого арбітражного апеляційного суду

Дев'ятий арбітражний апеляційний суд липні 2017 року зазначив, що суспільство внесено до реєстру операторів, які здійснюють обробку персональних даних, під номером 08-0031682.

В рамках здійснення даного виду діяльності суспільство обробляє містяться у відкритих джерелах (соціальних мережах: ВКонтакте, Однокласники, Моймир, Instragram, Twitter; інтернет-порталів Авито і Авто.ру) персональні дані клієнтів, потенційних клієнтів фінансових організацій. Згода клієнтів на обробку таких даних у суспільства немає.

Суспільство вважає, що має право обробки персональних даних про осіб без їх згоди. На думку суду, суспільством не враховано наступне.

На думку апеляційного суду, не є загальнодоступними оброблювані суспільством персональні дані, що містяться у відкритих джерелах (соціальних мережах: ВКонтакте, Однокласники, Моймир, Instragram, Twitter; інтернет-порталів Авито і Авто.ру). За змістом Закону про персональні дані, розміщення персональних даних в зазначених відкритих джерелах не робить їх автоматично загальнодоступними. Отже, не допускається обробка таких даних без згоди суб'єкта.

Дев'ятий арбітражний апеляційний суд залишив без зміни рішення Арбітражного суду м Москви, а апеляційну скаргу - без задоволення.

Арбітражний суд Московського округув листопаді 2017 року залишила без зміни, рішення Арбітражного суду міста Москви і постанова Дев'ятого арбітражного апеляційного суду, а касаційну скаргу без задоволення.

Позиція Верховного Суду Російської Федерації

Суддя Верховного Суду Російської Федерації в січні 2018 роки (визначення № 305-КГ17-21291) відмовила АТ «Національне бюро кредитних історій» в передачі касаційної скарги для розгляду в судовому засіданні Судової колегії з економічних спорів Верховного Суду РФ.

Мій коментар:Обробка інформації з соціальних мереж - широко поширений метод збору і аналізу інформації про людей і організації, і збором такої інформації про своїх клієнтів і контрагентів зараз не займається тільки ледачий. Сувора правда життя в тому, що той, хто не перевіряє таким чином своїх потенційних співробітників, клієнтів і контрагентів, на ділі не виявляє належної ділової обачності. Ті, хто хитріший, намагаються поменше говорити на публіку про це, і по можливості не вимовляти слова «персональні дані».

Збір інформації про громадян неминуче тягне за собою проблему законності таких дій, оскільки будь-яка інформації про громадян є їх персональними даними.

Зазначу, що які б приписи Роскомнадзор ні видавав, якщо отримання такої інформації дозволяє комерційним організаціям серйозно знизити ризики фінансових втрат, обробка її все одно триватиме. Ну хіба що ще трохи підзаробити юристи, які вигадують правове «прикриття» для цієї діяльності :)

До аждий день фізичні особи надають особисту інформацію в різні інстанції. За обробку відомостей відповідають оператори персональних даних. Це банки, роботодавці, медичні організації, інтернет-сайти і інші структури. Відповідно до закону оператори зобов'язані захищати персональну інформацію. Для створюють джерела, де містяться загальнодоступні персональні дані (ПД).

Що таке загальнодоступні ПД?

До загальнодоступних відносять відомості про людину, які він або вона самостійно надає в інстанції. Щоб до відкрити вільний доступ до інформації, потрібно письмовий дозвіл людини - суб'єкта персональних даних. Суб'єкт - це фізична особа, ПД якого збирає, зберігає і обробляє оператор. Оператор - це юридична або фізична особа, муніципальний або державний орган влади.

До загальнодоступних ПД відносять відомості про суб'єкта, за якими його можна ідентифікувати:

• Дата та місце народження;
• Домашня адреса;
• номер телефону;
• професія;
• індивідуальний податковий номер;
• місце роботи або навчання та інші відомості.

До складу загальнодоступних даних може входити будь-яка інформація, яка з точки зору закону не є конфіденційною. ПД суб'єкта можуть класифікуватися за обсягом і ступенем важливості інформації особистого характеру.

До загальнодоступних даних відноситься також персональна інформація, яка надається:

• при працевлаштуванні, укладення контракту або трудового договору;
• під час перепису населення;
• при оформленні договірних відносин під час торгових операцій і інших подібних ситуаціях.

Персональні дані суб'єкта, які поширюються через ЗМІ, не належать до конфіденційних, так як є загальнодоступними відповідно до «Переліку відомостей конфіденційного характеру».

Письмова згода суб'єкта на отримання, передачу, обробку та інші дії з ПД потрібно не завжди. В окремих випадках, наприклад, при участі в анкетуванні або підписці на розсилку новин, досить поставити галочку в графі, яка дозволяє використання ПД.

Дані загального типу допускає розміщувати в джерелах, які є загальнодоступними. Це означає, що джерела переглядає і використовує величезну кількість зацікавлених осіб. Приклад такого джерела - телефонні довідники.

Обробка загальнодоступних даних

Обробкою загальнодоступних даних займаються відділи і підрозділи, в обов'язки яких входить збір, систематизація, зберігання, зміна, використання і знищення ПД. Фізичні особи мають право запросити відомості про оператора даних і дізнатися, яку мету переслідує оператор під час обробки ПД.

Контроль за дотриманням законів при обробці покладено на Роскомнадзор. Певними ревізійними і контролюючими повноваженнями володіють ФСБ і ФСТЕК. Оператори створюють системи захисту особистих даних для власних потреб тому, в зв'язку з цим ліцензувати таку діяльність.

ПД обробляють організації, яким для здійснення своєї діяльності необхідно збирати, накопичувати, обробляти і зберігати інформацію про співробітників, постачальників і клієнтів. У певних випадках такі дані входять до складу відкритих.

Права суб'єктів загальнодоступних даних

Суб'єкти ПД можуть подати заяву з вимогою заблокувати, знищити, уточнити або змінити загальнодоступні дані, якщо відомості втратили актуальність, є неповними або не потрібні для цілей обробки. Суб'єкти праві також запросити доступ до своїх ПД і дізнатися, які кошти використовує оператор для їх обробки.

Інформація повинна використовуватися відповідно до вимог законодавства та бути захищеною незалежно від того, є вона конфіденційною або загальнодоступною. В обов'язки операторів входить забезпечити повний захист ПД суб'єкта і обмежити доступу до даних сторонніх осіб.

Оператор починає обробляти персональні дані лише після отримання письмового дозволу суб'єкта на обробку. Згода включає інформацію про фізичну особу та дані оператора: назва компанії, прізвище, ім'я та по батькові оператора, посаду. Також в злагоді потрібно вказати мету обробки і список даних з описом операцій, які будуть виконуватися з інформацією. Фізична особа має право на відкликання своїх ПД і анулювання своєї згоди на обробку.

У разі недієздатності або смерті суб'єкта згоду на обробку та використання ПД запитується у спадкоємців або законних представників. При цьому потрібно керуватися Федеральним законом про персональні дані.

У разі порушення вимог законодавства винні несуть адміністративну, кримінальну та інші види відповідальності. Неважливо, чи є ПД конфіденційними або загальнодоступними, відповідно до статті 8 ФЗ-152 про персональні дані загальнодоступні ПД можуть розміщуватися в загальнодоступних джерелах лише за згодою суб'єкта даних. Персональні дані повинні бути виключені з джерел, якщо цього вимагає суб'єкт або уповноважені органи: Роскомнадзор, суд або інші держструктури.

- фізичну особу, які надаються їм самим про себе.

До общедуступним даними є вільний доступ при наявності письмового дозволу суб'єкта. Сюди також можуть входити такі відомості про суб'єкта, яких не передбачається законом.

Суб'єкт - це фізична особа, інформацію про який збирає, зберігає, обробляє і з будь-якою метою використовує оператор (юридична або фізична особа, муніципальний або державний орган).

Які види інформації ними є?

Список особистих відомостей загальнодоступного характеру включає в себе:

Особливості

Загальнодоступні особисті відомості представлені в таких джерелах, як паспорт або інше посвідчення особи, посвідчення водія, військовий квиток, трудова книжка, диплом про освіту.

Не у всіх випадках виникає необхідність в письмовому дозволі на їх використання, іноді достатньо підпису або «галочки», поставленої в потрібній графі (наприклад, при заповненні заяв через інтернет).

Відомості загального характеру можуть бути поміщені в джерела з вільним доступом. У них зберігається інформація про суб'єктів, до їх числа відносять різноманітні довідники з телефонними номерами або адресами.

ФСТЕК - федеральна служба з технічного та експортного контролю видає ліцензії організаціям, що надають послуги іншим особам по створенню систем захисту персональних даних. Система захисту даних створюється для своїх потреб, ліцензія на неї не потрібно.

Фізична особа має право отримати відомості про оператора, а також дізнатися конкретну мету, переслідувану оператором при обробці.

Суб'єкт має повне право подавати заявку, схвалення якої дозволяє уточнити, блокувати або знищити особисті відомості в тому випадку, якщо вони застаріли, недійсні, неповні або їх наявність не є обов'язковою при обробці.

Крім усього іншого, фізична особа має право запитати у оператора доступ до своєї особистої інформації, а також ознайомитися із засобами обробки інформації. Оператори - це фахівці, що займаються обробкою інформації про людину.

Органами по обробці персональних даних виступають всі організації, які збирають, обробляють, накопичують і зберігають відомості про працівників, клієнтів, постачальників.

Детальніше про те, в яких випадках необхідний договір на обробку персональних даних, читайте.

В якому випадку вони включаються в відкриті джерела?

Включення інформації в загальнодоступні джерела відбувається в різних ситуаціях, наприклад:

• при працевлаштуванні і укладенні трудового договору;
• в процесі перепису населення;
• встановлення торгових відносин і т.д.

Персональні дані суб'єкта класифікуються за обсягом особистої інформації про людину і ступенем важливості. Будь-які операції з ними проводяться строго в рамках законодавчих актів і підлягають захисту.

Оператори зобов'язані організувати безпеку процесу роботи. Вони повинні забезпечувати повну особистої інформації суб'єктів від доступу до неї сторонніх осіб.

В процесі збору оператор зобов'язаний взяти письмовий дозвіл на подальшу обробку. В на обробку включається інформація про суб'єкта і про оператора (ПІБ, адреса), мета обробки і перелік необхідних відомостей, а також опис операцій, які будуть проводитися з ними.

«Персона» - дані, які стосуються людини, особистості, біологічного організму.

Що таке, як збирати, де зберігати, як захистити?

Дактилоскопічна карта - це персональні дані чи ні?

У ній немає даних про особу.

персональні дані - будь-яка інформація, що відноситься до певного або визначається на підставі такої інформації фізичній особі (суб'єкту персональних даних), в тому числі його прізвище, ім'я, по батькові, рік, місяць, дата і місце народження, адреса, сімейний, соціальне, майнове становище , освіта, професія, доходи, інша інформація;

Адреса - це реєстрація за місцем проживання або місцем перебування.

Умовна класифікація персональних даних.

1) за ступенем відкритості:

загальнодоступні персональні дані - персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.

Загальнодоступні персональні дані - це дані, на які дається добровільну згоду і розміщуються у відкритому доступі.

Часто деякі власники сайтів подають запит на інформацію для реєстрації, яку не хочеться надавати.

Конфіденційна інформація - інформація надається строго в певних цілях. Іноді може бути зібрана без відома особи.

У МВС зберігається інформація в інформаційних центрах

2) за належністю

- особисті - належать від народження

- службові - в ході роботи, служби - класний чин, і т.п.

3) за способом надання

- добровільно надана інформація

- надана в загальному порядку відповідно до законодавства (примусово)

- зібрані без згоди громадянина відповідно до законодавства

4) за характером дані

- біометричні (дактилоскопічна інформація)

Основні поняття, що використовуються при роботі з персональними даними.

- обробка персональних даних- дії (операції) з персональними даними, включаючи збір, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (в тому числі передачу), знеособлення, блокування, знищення персональних даних;

- поширення персональних даних- дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, в тому числі оприлюднення персональних даних в засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних яким -або іншим способом;

- використання персональних даних -дії (операції) з персональними даними, що здійснюються оператором з метою прийняття рішень чи вчинення інших дій, що породжують юридичні наслідки щодо суб'єкта персональних даних або інших осіб або іншим чином зачіпають права і свободи суб'єкта персональних даних або інших осіб;

- блокування персональних даних- тимчасове припинення збору, систематизації, накопичення, використання, поширення персональних даних, в тому числі їх передачі;

Розміщену в Інтернеті інформацію часто можна заблокувати.

Більшість персональних даних:

- зберігаються на комп'ютері

- розміщуються в Інтернеті

Проконтролювати розміщення важко

- знищення персональних даних- дії, в результаті яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних або в результаті яких знищуються матеріальні носії персональних даних; - ситуації, коли горіли архіви

знеособлення персональних даних

- знеособлення персональних даних- дії, в результаті яких неможливо визначити приналежність персональних даних конкретного суб'єкта персональних даних;

— інформаційна система персональних даних- інформаційна система, що представляє собою сукупність персональних даних, що містяться в базі даних, а також інформаційних технологій і технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації або без використання таких засобів;

— конфіденційність персональних даних- обов'язкове для дотримання оператором або іншим отримав доступ до персональних даних особою вимога не допускати їх поширення без згоди суб'єкта персональних даних або наявності іншого законного підстави;

— транскордонна передача персональних даних- передача персональних даних оператором через державний кордон Російської Федерації органу влади іноземної держави, фізичній або юридичній особі іноземної держави;

- загальнодоступні персональні дані- персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.

Обробка персональних даних.

1) законності цілей і способів обробки персональних даних і сумлінності;

2) відповідності цілей обробки персональних даних цілям, заздалегідь визначеним і заявленим при зборі персональних даних, а також повноважень оператора;

3) відповідності обсягу і характеру оброблюваних персональних даних, способів обробки персональних даних цілям обробки персональних даних;

4) достовірності персональних даних, їх достатності для цілей обробки, неприпустимість обробки персональних даних, надлишкових по відношенню до цілей, заявленим при зборі персональних даних;

5) неприпустимість об'єднання створених для несумісних між собою цілей баз даних інформаційних систем персональних даних.

Якщо колись хтось заповнив дактилоскопічну карту, то вона є в інформаційному центрі в їх базах даних. Ми не можемо, наприклад, об'єднати бази даних про звичайних громадян і осіб, які вчинили злочин.

1) за згодою власника персональних даних

2) без згоди власника персональних даних.

Це відноситься до осіб, які займають певне положення і посаду: військовослужбовці, трупи

Конфіденційність персональних даних:

Коли не потрібно:

1) у разі знеособлення персональних даних;

2) щодо загальнодоступних персональних даних.

- оператором, який здійснює збір і обробку персональних даних.

- обмежити доступ всередині власної організації

Оператор несе персональну відповідальність за поширення персональних даних

- встановлення обмеження доступу як в приміщенні, так і в мережі (пропускна система, система карткової ідентифікації)

Для локальних мереж - система login + пароль

Можна обмежити доступ по біометричної інформації: відбиток пальця, сітківка ока.

- про расову приналежність

- про політичні погляди

- про релігійні або філософські переконання

- про стан здоров'я

- про інтимне життя

Їх обробка можлива тільки за згодою суб'єктів.

1) наявність письмової згоди суб'єкта на їх обробку

2) якщо суб'єкт персональних даних зробив їх загальнодоступними

3) якщо дана інформація відноситься до інформації, необхідної для захисту життя, здоров'я та інших життєво важливих інтересів особи

Така інформація може надаватися в медико-профілактичних цілях - наприклад, вірусна інфекція.

Особливість обробки персональних даних в державних або муніципальних інформаційних системах обробки персональних даних.

- стосується тільки державних службовців і муніципальних службовців.

Державний орган має власним статусом, є самостійні системи обробки інформації про державних або муніципальних службовців.

1) встановлено, яка інформація потрібна в межах своєї компетенції

2) є ще ФЗ «Про державну цивільну службу», тобто регулюється не тільки законодавством про персональні дані.

Відомості, які характеризують фізіологічні особливості людини і на основі яких можна встановити його особистість (біометричні персональні дані), можуть оброблятися тільки за наявності згоди в письмовій формі суб'єкта персональних даних, крім наступних випадків:

1) вчинення злочину

Обробка біометричних персональних даних може здійснюватися без згоди суб'єкта персональних даних у зв'язку із здійсненням правосуддя, а також у випадках, передбачених законодавством Російської Федерації про безпеку, законодавством Російської Федерації про оперативно-розшукову діяльність, законодавством Російської Федерації про державну службу, кримінально-виконавчим законодавством Російської Федерації, законодавством Російської Федерації про порядок виїзду з Російської Федерації та в'їзду в Російську Федерацію.

- збір інформації з підозрюваного є незаконним

Обробка транскордонної інформації.

Можна вимагати з метою захисту громадян тієї країни, куди передається, збирається тільки з письмової згоди суб'єкта.

Права суб'єкта персональних даних.

1) Право суб'єкта персональних даних на доступ до своїх персональних даних

Не можна дзвонити в інформаційний центр МВС (головний інформаційний центр і зональний інформаційний центр)

2) Права суб'єктів персональних даних на обробку їх персональних даних в цілях просування товарів, робіт, послуг на ринку, а також з метою політичної агітації

Достовірність інформації буде перевірятися іншими особами.

3) прийняття рішень на підставі виключно автоматизованої обробки персональних даних. Людина може не довіряти автоматизованій обробці. Можна вимагати, щоб сліди пальців зберігалися не тільки в комп'ютері, але і на папері.

- ТрудК РФ - є глава, присвячена персональних даних.

ЗАКОН Про державну дактилоскопічну реєстрацію У РОСІЙСЬКОЇ ФЕДЕРАЦІЇ від 25 липня 1998 року N 128-ФЗ

Загальнодоступні персональні дані це

Персональні дані- будь-яка інформація, що відноситься до певного або визначається на підставі такої інформації фізичній особі, в тому числі:

Його прізвище, ім'я, по батькові,

Рік, місяць, дата і місце народження,

Адреса, сімейне, соціальне, майнове становище, освіта, професія, доходи,

— іншаінформація (див. ФЗ-152, ст.3).

Наприклад: паспортні дані, фінансові відомості, медичні карти, рік народження (для жінок), біометрія, інша ідентифікаційна інформація особистого характеру.

В загальнодоступніджерела персональних даних (адресні книги, списки і інше інформаційне забезпечення) з письмової згодифізичної особи можуть включатися його прізвище, ім'я, по батькові, рік і місце народження, адреса, номер телефону та іншіперсональні дані (див. ФЗ-152, ст.8).

Персональні дані відносяться до інформації обмеженого доступу і повинні бути захищенівідповідно до законодавства РФ. При формуванні вимог з безпеки систем персональні дані поділяють на 4 категорії.

Що таке оператор і суб'єкт персональних даних?

Оператор персональних даних- це, як правило, організація, а точніше - державний чи муніципальний орган, юридична або фізична особа, що організують і (або) здійснюють обробку персональних даних, а також визначають цілі і зміст обробки персональних даних.

Суб'єкт персональних даних- це фізична особа.

Оператор несе відповідальність за захист персональних даних суб'єкта відповідно до чинного законодавства РФ.

Як класифікувати інформаційну систему персональних даних?

Для того, щоб віднести типовуінформаційну систему персональних даних (ІСПДн) до того чи іншого класу необхідно:

II. визначити обсягперсональних даних, які обробляються в інформаційній системі:

обсяг 3- в інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктівперсональних даних або персональні дані суб'єктів персональних даних в межах конкретної організації;

обсяг 2 від 1000 до 100 000 суб'єктівперсональних даних або персональні дані суб'єктів персональних даних, що працюють в галузі економіки Російської Федерації, в органі державної влади, які проживають в межах муніципального освіти;

обсяг 1- в інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктівперсональних даних або персональні дані суб'єктів персональних даних в межах суб'єкта Російської Федерації або Російської Федерації в цілому;

III. За результатами аналізу вихідних даних типовийІСПДн присвоюється один з наступних класів(Див. Табл.):

Клас 4 (К4) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, які обробляються в них, не призводить до негативних наслідків для суб'єктів персональних даних;

Клас 3 (К3) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, які обробляються в них, може привести до незначних негативних наслідків для суб'єктів персональних даних;

Клас 2 (К2) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, які обробляються в них, може привести до негативних наслідків для суб'єктів персональних даних;

Клас 1 (К1) - інформаційні системи, для яких порушення заданої характеристики безпеки персональних даних, які обробляються в них, може призвести до значних негативних наслідків для суб'єктів персональних даних.

Судний день відстрочений до 1 січня 2011 року

Інформаційні системи персональних даних, створені до дня вступу в силу Федерального закону РФ № 152 «Про персональних даних», повинні бути приведені у відповідність до вимог цього Закону не пізніше 1 січня 2010 года (див. ФЗ-152, ст.25).

Це означає, що оператори персональних даних, які не зуміли виконати досить жорсткі вимоги ФЗ-152, з 1 січня 2010 р понесуть відповідну цивільну, адміністративну, дисциплінарну, а може бути (не дай Бог) і кримінальнувідповідальність .

Всі інформаційні системи, вже прийняті в експлуатацію після лютого-квітня 2008 року (з моменту розсилки методичних документів ФСТЕК Росії і ФСБ Росії), але не відповідають вимогам російського законодавства в області персональних даних, можуть понести зазначену відповідальність і раніше, наприклад, завтра вранці .

Примітка. Зміни в КК РФ, істотно посилюють відповідальність за порушення, що зачіпають недоторканність приватного життя, теж вступлять в силу з 1 січня 2010 року.

Але як завжди трапляється, оператори персональних даних особливо не ворушилися, і мало хто встиг зробити все, що потрібно. 16 грудня 2009 Держдума прийняла в третьому читанні поправки до статей 19 і 25 закону «Про персональні дані» (152-ФЗ). Термін приведення інформаційних систем персональних даних (ІСПДн) у відповідність із цим законом перенесли на рік - до 1 січня 2011 Крім того, із закону виключена норма, яка зобов'язує оператора при обробці персональних даних використовувати шифрувальні (криптографічні) кошти для захисту даних.

Обов'язкові вимоги щодо захисту інформаційних систем персональних даних

Основні обов'язкові вимоги до організації системи захисту інформації в залежності від класу типовий ІСПДн:

Для ІСПДн класу 4:

Перелік заходів щодо захисту персональних даних визначається оператором (в залежності від можливого збитку)

Для ІСПДн класу 3:

декларування відповідності або

Отримання ліцензії ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації (для розподілених систем ІСПДн К3)

Для ІСПДн класу 2:

Обов'язкова атестація за вимогами безпеки інформації

Отримання ліцензії ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації для розподілених систем

Для ІСПДн класу 1:

Обов'язкова атестація за вимогами безпеки інформації

Повинні бути реалізовані заходи щодо захисту персональних даних від ПЕМВН

Отримання ліцензії ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації

Порядок дій по захисту інформаційної системи персональних даних

Послідовність дій при виконанні вимог законодавства з обробки персональних даних:

1) Повідомлення в уповноважений орган із захисту прав суб'єктів персональних даних про свій намір здійснювати обробку персональних даних з використанням засобів автоматизації;

2) Попередпроектне обстеження інформаційної системи - збір вихідних даних;

3) Класифікація системи обробки персональних даних;

4) Побудова приватної моделі загроз з метою визначення їх актуальності для інформаційної системи;

5) Розробка приватного технічного завдання на систему захисту персональних даних;

6) Проектування системи захисту персональних даних;

Відповідальність за порушення з обробки персональних даних

Особи, винні в порушенні вимог Федерального закону 152-ФЗ «Про персональних даних», несуть:

- кримінальну (див. Кримінальний кодекс Російської Федерації, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),

Адміністративну (див. Кодекс Російської Федерації про адміністративні правопорушення, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Дисциплінарну (див. Трудовий кодекс Російської Федерації, ст.81; ст.90; ст.195; ст.237; ст.391)

та іншу передбачену законодавством РФ відповідальність (див. підзаконні акти по роботі з персональними даними, які видаються в суб'єктах РФ, відомствах і організаціях).

ФСТЕК- Федеральна служба з технічного та експортного контролю.

ПЕМВН- Побічні Електромагнітні Випромінювання і Наведення

Захист персональних даних

У грудні 2014 року Державною думою в третьому читанні був прийнятий законопроект про зберігання персональних даних громадян, оброблених в інтернеті, на серверах в Росії. За словами члена комітету з інформполітики Романа Чуйченко, головною метою законопроекту є посилення інформаційної безпеки країни та її громадян. Такий захід був прийнята в зв'язку з ускладненням міжнародної ситуації. Даний законопроект вступить в силу з 1 вересня 2015 року.

Вступ в силу нового положення про захист персональних даних передбачає забезпечення операторами персональних даних:

• своєчасного виявлення несанкціонованого доступу до ПДН;
• недопущення впливу на технічні засоби, що здійснюють автоматизовану обробку ПДН;
• можливості оперативного реагування на факт несанкціонованого доступу і негайного відновлення ПДН у випадках їх знищення або зміни;
• постійного контролю за рівнем захищеності персональних даних.

Категорії персональних даних

Обробка ІСПДн також може здійснюватися по параметру «обсяг оброблюваних персональних даних», який передбачає кількість суб'єктів, що обробляються в інформаційній системі, і може набувати таких значень:

• одночасна обробка більш ніж 100 тисяч суб'єктів ПДН (виконується як в межах суб'єкта РФ, так і в РФ в цілому);
• одночасна обробка ПДН від 1 до 100 тисяч суб'єктів (виконується в органі гос.власти, що працюють в області економіки РФ);
• одночасна обробка ПДН менш ніж 1 тисячі суб'єктів (виконується в межах конкретної організації).

Поділ на категорії дозволяє не тільки визначити клас ІСПДн, але і встановити комплекс заходів щодо забезпечення безпеки і захисту персональних даних в інтернеті, при обробці в Інфосистема.

Персональні дані працівника

Право на захист своїх персональних даних має кожен працівник (п. 9 ст. 86 ТК РФ).

Відповідно до ст. 89 Трудового кодексу РФ своє право на охорону здоров'я та захист ПДН кожен працівник може реалізувати за допомогою наступних дій:

• вільний безкоштовний доступ до своїх персональних даних, в тому числі отримання копії будь-якого запису, в якій містяться ПДН працівника;
• визначення особистого представника для захисту своїх персональних даних;
• отримання повної інформації про ПДН і їх обробці;
• висування вимог про виключення або виправлення персональних даних, що містять невірну інформацію або, якщо вони були оброблені з порушенням вимог законодавства;
• оскарження в суді неправомірних дій роботодавця, а також його бездіяльності при обробці та захисту ПДН.

Склад персональних даних працівника

На підставі п.2 ст.86 ТК РФ обсяг і зміст персональних даних працівника визначаються роботодавцем відповідно до Конституції РФ, Трудового кодексу та іншими федеральними законами. Як правило, діяльність будь-якої організації передбачає використання роботодавцем в документообіг два основних види документів:

1. Документи, які надаються працівником при укладенні трудового договору (ст.65 ТК РФ). До даної категорії відносяться документи, що містять фотозображення працівника, ПІБ, відомості про місце і дату народження, громадянство, сімейний стан, місце реєстрації, освіту, фах (паспорт, страхове свідоцтво державного пенсійного страхування, військовий квиток і т.д.).
2. Документи, які формуються роботодавцем самостійно (первинна облікова документація з обліку праці та її оплати). Дана категорія включає в себе накази чи розпорядження про прийом працівника, розірвання трудового договору, заохочення працівника, особова картка, документи по оплаті праці.

Захист персональних даних, відповідальність за порушення законодавства

Відзначимо, що деякі санкції за порушення окремих складів правопорушень поширюються як на фізичних і посадових осіб, так і на юридичних.

Відповідно до ст.150 Цивільного кодексу РФ недоторканність приватного життя, особистої і сімейної таємниці відноситься до числа невідчужуваних нематеріальних прав, які перебувають під захистом діючих законів.

Відзначимо, що права і обов'язки працівника, які мають пряме відношення до ПДН інших працівників, визначаються умовами трудового договору та складом локальних нормативно-правових актів, що встановлюють трудові функції працівника та перелік його посадових обов'язків.

адміністративна відповідальність за порушення порядку збирання, зберігання та поширення персональних даних тягне за собою попередження або штраф у розмірі: від 300 до 500 рублів - для фізичних осіб; від 500 до 1000 рублів - посадових осіб, від 5 до 10 неоподатковуваних мінімумів доходів громадян - для юридичних осіб (ст. 13.11 КоАП РФ). Адміністративна відповідальність за поширення інформації, що охороняється законом, під час виконання службових і професійних обов'язків, тягне за собою штраф у розмірі: від 500 до 1000 рублів - для фізичних осіб, від 4 до 5 тисяч рублів - для посадових осіб (ст. 13.14 КоАП РФ) .

Порушення недоторканності приватного життя, зокрема персональних даних, особою при використанні свого службового становища передбачає покарання у вигляді:

• штрафу в розмірі від 100 до 300 неоподатковуваних мінімумів доходів громадян, заробітної плати або іншого доходу правопорушника протягом 1-2 років;
• позбавлення права обіймати певні посади на строк від 2 до 5 років;
• арешту на строк від 4 до 6 місяців.

Коментар до Федерального закону від 27 липня 2006р. N 152-ФЗ "Про персональних даних" Петров Михайло Ігорович

Стаття 8. Загальнодоступні джерела персональних даних

Загальнодоступні джерела персональних даних

Коментар до статті 8

1. За змістом Закону, що коментується загальнодоступними визнаються джерела персональних даних, доступ до яких не обмежений і не вимагає отримання попередньої згоди суб'єктів персональних даних. Загальнодоступні джерела персональних даних можуть використовуватися будь-якими особами на їх розсуд при дотриманні встановлених федеральними законами обмежень щодо поширення такої інформації.

Створення загальнодоступних джерел персональних даних обумовлено необхідністю інформаційного забезпечення. Аналіз чинного законодавства дозволяє відзначити, що до числа загальнодоступних джерел персональних даних в даний час відносяться: довідники, адресні книги, енциклопедії, документи, що накопичуються у відкритих фондах бібліотек та архівів, інформаційних системах органів державної влади, органів місцевого самоврядування, громадських об'єднань, організацій, що становлять суспільний інтерес або необхідних для реалізації прав, свобод і обов'язків громадян. Разом з тим сучасна наука і практика поки не зуміли виробити ефективних критеріїв, за допомогою яких можна було б чітко розрізняти загальнодоступні і конфіденційні сегменти інформації.

Створення загальнодоступних джерел персональних даних, до складу яких підлягають включенню прізвище, ім'я, по батькові, рік і місце народження, адреса, номер телефону, відомості про професію та інші персональні дані, надані суб'єктом персональних даних, здійснюється з обов'язкової згоди останнього. Крім того, суб'єкт персональних даних має право вимагати від осіб, які розповсюджують таку інформацію, вказувати себе як джерело такої інформації.

Використання персональних даних із загальнодоступних джерел передбачає, в свою чергу, виключення можливості отримання прибутку.

У разі обробки загальнодоступних персональних даних обов'язок доведення того, що оброблювані персональні дані є загальнодоступними, покладається на оператора.

2. З метою захисту прав та законних інтересів суб'єкта персональних даних законодавець передбачає можливість відкликання персональних даних, що використовуються в загальнодоступних джерелах. Їх виключення може бути здійснено як на вимогу самого суб'єкта персональних даних, так і за рішенням суду або спеціально уповноваженого державного органу.

Стаття 74-1. Обробка персональних даних з порушенням законодавства про захист персональних даних (1) Недотримання вимог щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних тягне за собою накладення штрафу

Стаття 85. Поняття персональних даних працівника. Обробка персональних даних працівника Персональні дані працівника - інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного работніка.Обработка персональних даних працівника

Стаття 88. Передача персональних даних працівника При передачі персональних даних працівника роботодавець повинен дотримуватися таких вимог: не повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків,

Стаття 5. Принципи обробки персональних даних Коментар до статті 51. Стаття, що коментується законодавець встановлює основні початку в роботі з персональними даними, збір і обробка яких здійснюється на законних підставах. останні

Стаття 6. Умови обробки персональних даних Коментар до статті 61. Дотримання принципів обробки персональних даних, представлених попередньої статтею, не є єдиною умовою, що гарантує захищеність прав і законних інтересів громадян, чиї

Стаття 7. Конфіденційність персональних даних Коментар до статті 71. Забезпечення конфіденційності персональних даних в процесі їх обробки поряд з встановленими принципами роботи з ними і отриманням згоди на обробку є обов'язковою умовою,

Стаття 9. Згода суб'єкта персональних даних на обробку своїх персональних даних Коментар до статті 91. Стаття, що визначає порядок, умови та підстави отримання згоди суб'єкта персональних даних на їх обробку. Законодавець підкреслює, що

Стаття 10. Спеціальні категорії персональних даних Коментар до статті 101. Стаття, що виділяє особливі категорії персональних даних і встановлює загальну заборону на їх обробку. До спеціальної категорії персональних даних відносяться відомості, що розкривають

Стаття 12. Транскордонна передача персональних даних Коментар до статті 121. Законопроект визначає принципи транскордонної передачі персональних даних. Ці принципи гармонізовані з основними міжнародно-правовими актами в галузі персональних даних, що

Стаття 15. Права суб'єктів персональних даних при обробці їх персональних даних в цілях просування товарів, робіт, послуг на ринку, а також з метою політичної агітації Коментар до статті 151. Стаття, що своїм змістом апелює до положень ст.150 ГК

Стаття 16. Права суб'єктів персональних даних при прийнятті рішень на підставі виключно автоматизованої обробки їх персональних даних Коментар до статті 161. Стаття, що визначає права суб'єктів персональних даних стосовно прийняття

Стаття 20. Обов'язки оператора при зверненні або при отриманні запиту суб'єкта персональних даних або його законного представника, а також уповноваженого органу з захисту прав суб'єктів персональних даних Коментар до статті 201. Норми коментованої статті у

Стаття 21. Обов'язки оператора щодо усунення порушень законодавства, допущених при обробці персональних даних, а також щодо уточнення, блокування та знищення персональних даних Коментар до статті 211. Положення коментованої статті визначають процедуру

Стаття 22. Повідомлення про обробку персональних даних Коментар до статті 221. Процедура повідомлення про обробку персональних даних за змістом коментованого Закону виступає однією з гарантій дотримання прав і законних інтересів суб'єктів персональних даних в