До загальнодоступних джерел персональних даних належать. Арбітражна практика: Обробка персональних даних із соціальних мереж. Які види інформації ними є

Роскомнагляд виявив порушення щодо відповідності діяльності з обробці персональних даних вимогам законодавства за результатами планової виїзної перевірки одного з бюро кредитних історій. Ці результати бюро спробувало оскаржити в Арбітражному суді міста Москви (рішення Арбітражного суду міста Москви від 5 травня 2017 року у справі № А40-5250/17-144-51).

Суть виявлених Роскомнаглядом порушень полягала в наступному:

• фінансова організація не представила повідомлення до уповноваженого органу про використання сервісів Double Data Social Link та Double Data Social Attributes, які передавали фінансовій організації дані фізичних осібчи потенційних клієнтів із відкритих джерел інформації ( , далі – Закону № 152-ФЗ);
• не було згоди на обробку персональних даних, які у відкритих джерелах – у соціальних мережах і інтернет-порталах ().

Арбітражний суд міста Москви визначив, що обробка персональних даних допускається у випадках, коли персональні дані доступні невизначеному колу осіб, є згода власника даних та відомості надані безпосередньо самим суб'єктом ( , ).

Суд наголосив, що без письмової згоди суб'єкта персональних даних не можна затверджувати про надання згоди саме вказаною особою. На його думку, якщо власник зробив персональні дані загальнодоступними для всіх, то вони можуть бути лише у загальнодоступних джерелах (). На думку суду, соцмережі не є такими джерелами отримання персональних даних, відповідно інформація про особу, яка розміщена в них, не може бути віднесена до загальнодоступної.

У рішенні арбітражу зазначено, що до загальнодоступних джерел персональних даних можуть включатися прізвище, ім'я, по батькові, рік і місце народження, адреса, абонентський номер, відомості про професію та інші персональні дані їх власника за його письмовою згодою та повідомляються ним самим. Суд дійшов висновку, що власники персональних даних не зробили відомості загальнодоступними, які оброблялися бюро кредитних історій у соціальних мережах ( , ). У зв'язку з чим суд визнав припис Роскомнагляду законним та відмовив фінансовій установі у задоволенні позовних вимог.

Чи можна притягнути до відповідальності компанію за використання зображення фізичної особи без її згоди, якщо вона оприлюднила фотографії співробітників у соціальних мережах? Відповідь на це та інші практичні питання – у "Базі знань служби Правового консалтингу"в інтернет-версії системи ГАРАНТ. Отримайте повний доступ на 3 дні безкоштовно!

Суд апеляційної інстанції погодився з висновками нижчестоящого суду, наголосивши, що розміщення персональних даних у соціальних мережах не робить їх автоматично загальнодоступними, отже, потрібна згода суб'єкта на обробку інформації (постанова Дев'ятого арбітражного апеляційного суду від 27 липня 2017 року у справі № А4 17). Суд касаційної інстанції та Верховний Суд Російської Федераціївстали на бік Роскомнагляду і не знайшли підстав для скасування оскаржуваних судових актів .

Таким чином, суди вирішили, що персональні дані є загальнодоступними під час виконання двох умов: вони надані власником та доступні невизначеному колу осіб. На їхню думку, через відсутність згоди власника персональних даних на розміщення відомостей про нього у соцмережах, не можна їх [соцмережі] віднести до загальнодоступних джерел. У цьому оператор має право продовжити обробку персональних даних без згоди суб'єкта персональних даних, у разі його відкликання, лише за наявності відповідних підстав, наприклад, протидії тероризму чи корупції ().

Провідний юрист Європейської Юридичної Служби Олена Держієвазазначила, що за умовами угоди соцмережі "Вконтакте" власник персональних даних дає згоду лише на доступ до інформації, яку він розміщує на своїй сторінці, але не на обробку третіми особами.

До знеособлених даних належать:

• Ім'я, ім'я та по батькові;
• Нік/логін суб'єкта в Інтернеті;
• Електронна адреса (без прив'язки до ПІБ);
• Посада, місце роботи (без відомостей про особисті дані).

До загальнодоступних даних належать відомості про суб'єкта, яку можна отримати у відкритих джерелах інформації, наприклад, у телефонному довіднику або адресній книзі. У такі загальнодоступні базидані вносяться за письмовою згодою суб'єкта. Особливості загальнодоступних персональних даних полягає в тому, що вони можуть бути розміщені у відкритих джерелах інформації. Тобто, якщо у довіднику контактів організації зазначені контактні дані посадових осіб, наприклад, які займаються навчанням та наймом персоналу, такі дані вважаються загальнодоступними.

Поняття та види персональних даних

ТК РФ). Під обробкою персональних даних маються на увазі різні операції, передбачені законодавством Російської Федерації. До видів обробки ПДН належить збір, систематизація, накопичення, зберігання, оновлення, використання, знеособлення, знищення, що виробляються за встановленими нормативними актами процедурами.

• Загальнодоступні персональні дані;
• Спеціальні персональні дані;
• Біометричні персональні дані

При формуванні інформаційних систем персональних даних (ІСПД) рекомендується керуватися Наказом ФСТЕК, ФСБ та Міністерства інформаційних технологійта зв'язку РФ № 55/86/20 від 13.
02.

Загальнодоступні персональні дані

Нецільове використання такої інформації карається законом. Закон про захист персональних даних піклується не лише про фізичні, а й про юридичних осібах.

Увага

Мало кому сподобається, якщо інформація про фінансовий стан справ або даних співробітників компанії буде доступна кожному охочому. Це значно спростило б життя шахраям, чого не бажають ні прості громадяни, ні співробітники правоохоронних органів.

• Загальнодоступні персональні дані
• Стаття 8

Загальнодоступні персональні дані це

Наприклад, закон точно не визначає, чи номер телефону є персональними даними. Роскомнагляд у відповіді на звернення громадян пояснив, що лише за номером неможливо точно ідентифікувати людину.

Сам по собі він не персональний, а у зв'язку з ПІБ власника та містом проживання відноситься до ПД. Тому неперсоніфіковане розсилання смс-повідомлень не вважається порушенням ФЗ №152.

Загальні ПД містяться у паспорті, військовому квитку, дипломі, особистій картці співробітника, трудовій книжці тощо. буд.
Відносна простота доступу часто приносить проблеми суб'єктам ПД - пересічним громадянам: від нав'язливої ​​реклами до шантажу та підробок кредитних заявок.

Які персональні дані вважаються загальнодоступними

Наприклад, такі:

• потреба зберігати резервні копіївсієї бази даних;
• необхідний фахівець, який займеться адмініструванням інформації;
• будуть потрібні витрати на спеціально призначене для цього обладнання та програмне забезпечення;
• співробітник, який обробляє персональні дані, має бути винятково грамотний.

Які методи застосовують для того, щоб ефективно захистити персональну інформацію співробітників?

• Зробити приміщення, де обробляються особисті дані, повністю закритими доступу інших співробітників.
• Для отримання будь-якої інформації співробітники мають отримати спеціальний дозвіл.
• Зберігання даних має бути чітко організовано.

З огляду на наявність і недоліків і переваг у кожного з методів, як правило, роботодавці комбінують їх.

Стаття 8. Загальнодоступні джерела персональних даних

Комерційною таємницею зарплата не може бути через те, що вона належить до системи оплати праці. Але це не виключає її зі списку ПД, за розповсюдження яких працівника можуть звільнити згідно з Трудовим Кодексом.

І якщо співробітник почне оскаржувати це рішення у суді, то роботодавець зобов'язаний довести, що розголошена інформація стосується таємниці, відомості якої співробітник зобов'язувався нікому не повідомляти. Типи персональних даних можна класифікувати за:

• Закладеного у них змісту:
• Розряд, куди входить перелік, зазначений у ст.10: раса, приналежність до нації, релігія, здоров'я, особисте життя, політичні переконання. При цьому згідно з ФЗ-152 тут існують обмеження, а саме доступ може бути здійснений тільки з письмового дозволу власника.

Заробітна плата – це персональні дані чи ні?

Важливо

З метою інформаційного забезпечення можуть створюватися загальнодоступні джерела персональних даних (у тому числі довідники, адресні книги). До загальнодоступних джерел персональних даних за письмовою згодою суб'єкта персональних даних можуть включатися його прізвище, ім'я, по батькові, рік та місце народження, адреса, абонентський номер, відомості про професію та інші персональні дані, що надаються суб'єктом персональних даних.

• Біометричні. Характеризують фізіологію.
• Чи не біометричні. Дані, які не належать до біометричних.

Види персональних даних Які типи поділяються персональні дані? Що до них належать? Важливо розуміти, що вся інформація, яка зберігається на підприємстві щодо певного співробітника, може бути розглянута із двох різних точок зору.

• Дані про сімейний стан та сім'ю працівника (окремих її членів), а саме: наявність утриманців, наявність дітей, їх вік та кількість, стан здоров'я.
• Інформація про певного співробітника, а саме: ПІБ (паспорт), професія, стан здоров'я, а також якісь особливі обставини.

Керівник підприємства зобов'язаний сформувати нормативно-правовий акт локального значення, що розглядає порядок, що визначає зберігання персональних даних.

Персональні дані загальнодоступні, що до них відноситься

Відповідальність за розголошення Важливо врахувати, що 152 ФЗ «Про захист персональних даних» передбачає лише адміністративну відповідальність підприємства за розголошення персональних даних працівника. А отже, якщо організація не здатна гарантувати працівникам абсолютний захист їхньої особистої інформації, то її очікує лише штраф. Причому суми грошового покарання за неправильне зберігання персональних даних є абсолютно кумедними. Загалом вони коливаються від п'яти до десяти тисяч рублів. Звичайно, це так, якщо йдеться лише про поодинокі виплати. Як правило, на підприємствах, де є такі проблеми, порушення множинні, а значить, і суми штрафу істотно зростають. Однак грошові витрати — далеко не найголовніший наслідок того, що використання персональних даних відбувається неправильно. Це сильно б'є за репутацією компанії.
Наприклад, такі:

• наявність додаткових ресурсів для зберігання, таких як спеціальні приміщення, обладнання, сейфи тощо;
• трудомісткість процесу;
• потрібні спеціальні навички для ведення паперової документації.

Іноді відділи кадрів вважають за краще зберігати інформацію про одного співробітника окремо (у різних тематичних папках). Так, окремо зберігаються всі трудові договори, анкети та інші документи щодо всіх працівників одразу. Їх нумерують для зручнішого пошуку. Цей спосіб менш трудомісткий, ніж той, що був описаний вище, та й не вимагає ніяких спеціальних навичок від співробітника відділу кадрів. Тим не менш, і він не позбавлений недоліків.
Повідомлення про обробку персональних даних Дуже частою помилкою операторів є повідомлення про обробку ПД, коли можна було цього не робити. І якщо ви все-таки вирішили повідомити Роскомнагляд, то ось кілька рекомендацій:

• Дуже уважно ознайомтеся із ч.2 ст.22 ФЗ РФ від 27.07.06г.

  N 152-ФЗ "Про персональні дані".

• Подивіться дані, які обробляються у вас. Деякі випадки вимагатимуть від вас коригування з носіями ПД.

Одна з причин, через яку можна не повідомляти про обробку ПД, зазначена в п.2 ч.2 ст.22 ФЗ і виглядає так: Візьмемо за приклад встановлення ділових відносин з фізособою на виконання послуги.

Щоб дати зрозуміти, що все готове і вам не довелося просто так їхати кілька десятків кілометрів, завбачливо майстер взяв ваш номер телефону для оголошення радісної новини.

Щодня фізичні особи надають особисту інформацію до різних інстанцій. За обробку інформації відповідають оператори персональних даних. Це банки, роботодавці, медичні організації, інтернет-сайти та інші структури. Відповідно до закону, оператори зобов'язані захищати персональну інформацію. Для створення джерел, де містяться загальнодоступні персональні дані (ПД).

Що таке загальнодоступні ПД?

До загальнодоступних відносять відомості про людину, яку вона чи вона самостійно надає в інстанції. Щоб відкрити вільний доступ до інформації, потрібен письмовий дозвіл людини - суб'єкта персональних даних. Суб'єкт - це фізична особа, ПД якої збирає, зберігає та обробляє оператор. Оператор - це юридична чи фізична особа, муніципальний чи державний орган влади.

До загальнодоступних ПД відносять відомості про суб'єкта, за якими його можна ідентифікувати:

• Дата та місце народження;
• Домашня адреса;
• номер телефону;
• професія;
• індивідуальний податковий номер;
• місце роботи або навчання та інші відомості.

До загальнодоступних даних може входити будь-яка інформація, яка з точки зору закону не є конфіденційною. ПД суб'єкта можуть класифікуватися за обсягом та ступенем важливості інформації особистого характеру.

До загальнодоступних даних належить також персональна інформація, яка надається:

• під час працевлаштування, укладання контракту або трудового договору;
• під час перепису населення;
• при оформленні договірних відносин під час торгових операцій та інших подібних ситуацій.

Персональні дані суб'єкта, які поширюються через ЗМІ, не належать до конфіденційних, оскільки є загальнодоступними відповідно до «Переліку відомостей конфіденційного характеру».

Письмова згода суб'єкта отримання, передачу, обробку та інші дії з ПД потрібно завжди. В окремих випадках, наприклад, за участю в анкетуванні або підписці на розсилку новин, достатньо поставити галочку в графі, яка дозволяє використання ПД.

Дані загального типу допускають розміщувати в джерелах, які є загальнодоступними. Це означає, що джерела переглядає та використовує величезну кількість зацікавлених осіб. Приклад такого джерела – телефонні довідники.

Обробка загальнодоступних даних

Обробкою загальнодоступних даних займаються відділи та підрозділи, до обов'язків яких входить збір, систематизація, зберігання, зміна, використання та знищення ПД. Фізичні особи мають право запросити відомості про оператора даних та дізнатися, яку мету переслідує оператор під час обробки ПД.

Контроль за дотриманням законів при обробці покладено на Роскомнагляд. Певні ревізійні та контролюючі повноваження мають ФСБ і ФСТЕК. Оператори створюють системи захисту особистих даних для потреб тому, у зв'язку з цим ліцензувати таку діяльність.

ПД обробляють організації, яким для здійснення своєї діяльності необхідно збирати, накопичувати, обробляти та зберігати інформацію про співробітників, постачальників та клієнтів. У деяких випадках такі дані входять до складу відкритих.

Права суб'єктів загальнодоступних даних

Суб'єкти ПД можуть подати заяву з вимогою заблокувати, знищити, уточнити або змінити загальнодоступні дані, якщо відомості втратили актуальність, є неповними або не потрібні для обробки. Суб'єкти мають право також запросити доступ до своїх ПД і дізнатися, які кошти використовує оператор для їх обробки.

Інформація повинна використовуватись відповідно до вимог законодавства та бути захищеною незалежно від того, є вона конфіденційною чи загальнодоступною. До обов'язків операторів входить забезпечити повний захист ПД суб'єкта та обмежити доступ до даних сторонніх осіб.

Оператор починає обробляти персональні дані лише після отримання письмового дозволу суб'єкта на обробку. Згода включає інформацію про фізичну особу та дані оператора: назву компанії, прізвище, ім'я та по батькові оператора, посаду. Також у згоді потрібно вказати мету обробки та список даних з описом операцій, які виконуватимуться з інформацією. Фізична особа має право на відкликання своїх ПД та анулювання своєї згоди на обробку.

У разі недієздатності чи смерті суб'єкта згода на обробку та використання ПД запитується у спадкоємців чи законних представників. При цьому слід керуватися Федеральним законом про персональні дані.

У разі порушення вимог законодавства винні несуть адміністративну, кримінальну та інші види відповідальності. Неважливо, чи є ПД конфіденційними чи загальнодоступними, відповідно до статті 8 ФЗ-152 про персональні дані загальнодоступні ПД можуть розміщуватися у загальнодоступних джерелах лише за згодою суб'єкта даних. Персональні дані мають бути виключені із джерел, якщо цього вимагає суб'єкт чи уповноважені органи: Роскомнагляд, суд чи інші держструктури.

загальнодоступні персональні дані - Персональні дані, доступ до яких надано необмеженому колу осіб за згодою суб'єкта персональних даних або на які відповідно до федеральними законамине поширюється вимога дотримання конфіденційності. Довідник технічного перекладача

Загальнодоступні персональні дані - персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.

ЗАГАЛЬНОДОСТУПНІ ПЕРСОНАЛЬНІ ДАНІ - відповідно до Федерального закону «Про персональні дані» від 27.07.2006 № 152 ФЗ, – персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних справ… … Діловодство та архівна справа термінах та визначеннях

Персональні дані загальнодоступні - Загальнодоступні персональні дані персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання … Офіційна термінологія

ЗАГАЛЬНОДОСТУПНІ ДЖЕРЕЛА ПЕРСОНАЛЬНИХ ДАНИХ - згідно з Федеральним законом «Про персональні дані» від 27.07.2006 № 152 ФЗ, – довідники, адресні книги тощо. У загальнодоступні джерела персональних даних за письмовою згодою суб'єкта персональних даних можуть включатися його прізвища та архівна справа у термінах та визначеннях

Про - Забезпечення кредиту (Security for credit, loan security, collateral) Забезпеченість виробництва запасами (number of days', weeks' stock) Знецінення активів (impairment of assets) … Економіко-математичний словник

Сайт - Головна сторінкасайту Wikipedia.org Сайт (від англ. website … Вікіпедія

Що таке загальнодоступні персональні дані і які види інформації до цього належать?

Особливості

Загальнодоступні особисті відомості представлені в таких джерелах, як паспорт або інше посвідчення особи, посвідчення водія, військовий квиток, трудова книжка, диплом про освіту.

Не завжди виникає потреба в письмовому дозволі на їх використання, іноді достатньо підпису або «галочки», поставленої в потрібній графі (наприклад, при заповненні заяв через інтернет).

Відомості загального характеру можуть бути поміщені джерела з вільним доступом. У них зберігається інформація про суб'єктів, до них відносять різноманітні довідники з телефонними номерамичи адресами.

Відповідно до «Переліку відомостей конфіденційного характеру» ті, що підлягають поширенню в засобах масової інформації, не є конфіденційними.

Обробкою займаються спеціальні підрозділи чи органи, які збирають, систематизують, зберігають, використовують, і навіть знищують відомості. Контроль за законністю використання персональних даних здійснюють Роскомнагляд, ФСБ та ФСТЕК.

ФСТЕК - федеральна служба з технічного та експортного контролю видає ліцензії організаціям, які надають послуги іншим особам щодо створення систем захисту персональних даних. Система захисту даних створюється для потреб, ліцензія на неї не потрібна.

Фізична особа має право отримати відомості про оператора, а також дізнатися конкретну мету, яку переслідує оператор при обробці.

Суб'єкт має повне право подавати заявку, схвалення якої дозволяє уточнити, блокувати або знищити особисті відомості у тому випадку, якщо вони застаріли, недійсні, неповні або їх наявність не є обов'язковою під час обробки.

Крім того, фізична особа має право запросити у оператора доступ до своєї особистої інформації, а також ознайомитися із засобами обробки відомостей. Оператори – це спеціалісти, які займаються обробкою інформації про людину.

Органами з обробки персональних даних виступають усі організації, які збирають, обробляють, накопичують та зберігають відомості про працівників, клієнтів, постачальників.

У якому разі вони входять у відкриті джерела?

Включення інформації до загальнодоступних джерел відбувається у різних ситуаціях, наприклад:

• при працевлаштуванні та укладанні трудового договору;
• у процесі перепису населення;
• встановлення торговельних відносин тощо.

Персональні дані суб'єкта класифікуються за обсягом особистої інформації про людину та ступенем важливості. Будь-які операції з ними проводяться строго у межах законодавчих актів та підлягають захисту.

Оператори мають організувати безпеку процесу роботи. Вони повинні забезпечувати повний захист особистої інформації суб'єктів від доступу до неї сторонніх осіб.

У процесі збору оператор зобов'язаний взяти письмовий дозвіл на подальшу обробку. У письмову згоду на обробку включається інформація про суб'єкта та оператора (ПІБ, адресу), мету обробки та перелік необхідних відомостей, а також опис операцій, які будуть здійснюватися з ними.

Громадянин як власник персональної інформаціїпро себе, може відкликати раніше підписаний дозвіл на її обробку. Якщо суб'єкт недієздатний або у разі його смерті, згода запитується у законних представників чи спадкоємців. В основі дій оператора лежить Федеральний закон "Про персональні дані".

Порушення закону припиняється кримінальною, цивільною, адміністративною чи іншими видами відповідальності.

Будь-яка інформація про фізичну особу - суб'єкта персональних даних може бути виключена із загальнодоступних джерел на підставі вимоги суб'єкта, Роскомнагляду, рішення суду або інших державних органів.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

"Персона" - дані, які стосуються людини, особистості, біологічного організму.

Що таке як збирати, де зберігати, як захистити?

Дактилоскопічна карта – це персональні дані чи ні?

У ній немає даних про особистість.

персональні дані - будь-яка інформація, що відноситься до певної або визначається на підставі такої інформації фізичній особі (суб'єкту персональних даних), у тому числі її прізвище, ім'я, по батькові, рік, місяць, дата та місце народження, адреса, сімейне, соціальне, майнове становище , освіта, професія, доходи, інша інформація;

Адреса – це реєстрація за місцем проживання чи місцем перебування.

Умовна класифікація персональних даних.

1) за ступенем відкритості:

загальнодоступні персональні дані - персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.

Загальнодоступні персональні дані – це дані, на які надається добровільна згода та розміщуються у відкритому доступі.

Часто деякі власники сайтів вимагають інформацію для реєстрації, яку не хочеться надавати.

Конфіденційна інформація – інформація надається суворо в певних цілях. Іноді може бути зібрана без відома особи.

У МВС зберігається інформація в інформаційних центрах

2) за належністю

- особисті - належать від народження

— службові – під час роботи, служби – класний чин, тощо.

3) за способом надання

— добровільно надана інформація

- надана в загальному порядкувідповідно до законодавства (примусово)

- зібрані без згоди громадянина відповідно до законодавства

4) за характером дані

- Біометричні (дактилоскопічна інформація)

Основні поняття, що використовуються під час роботи з персональними даними.

- Обробка персональних даних- дії (операції) з персональними даними, включаючи збирання, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, поширення (у тому числі передачу), знеособлення, блокування, знищення персональних даних;

- Розповсюдження персональних даних— дії, спрямовані на передачу персональних даних певному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, у тому числі оприлюднення персональних даних у засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних яких -або іншим способом;

- Використання персональних даних -дії (операції) з персональними даними, що здійснюються оператором з метою прийняття рішень або вчинення інших дій, що породжують юридичні наслідки щодо суб'єкта персональних даних або інших осіб або іншим чином зачіпають права та свободи суб'єкта персональних даних або інших осіб;

- Блокування персональних даних- тимчасове припинення збору, систематизації, накопичення, використання, розповсюдження персональних даних, у тому числі їх передачі;

Розміщену в Інтернеті інформацію часто не можна заблокувати.

Більшість персональних даних:

- зберігаються на комп'ютері

— розміщуються в Інтернеті

Проконтролювати розміщення важко

- Знищення персональних даних— дії, внаслідок яких неможливо відновити зміст персональних даних у інформаційної системиперсональних даних чи результаті яких знищуються матеріальні носії персональних даних; ситуації, коли горіли архіви

знеособлення персональних даних

- Знеособлення персональних даних- дії, внаслідок яких неможливо визначити належність персональних даних конкретному суб'єкту персональних даних;

— інформаційна система персональних даних— інформаційна система, яка є сукупністю персональних даних, що містяться в базі даних, а також інформаційних технологій та технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації або без використання таких засобів;

— конфіденційність персональних даних— обов'язкова для дотримання оператором або іншою особою, яка отримала доступ до персональних даних, вимога не допускати їх поширення без згоди суб'єкта персональних даних або наявності іншої законної підстави;

— транскордонна передача персональних даних- Передача персональних даних оператором через Державний кордон Російської Федерації органу влади іноземної держави, фізичній або юридичній особі іноземної держави;

- Загальнодоступні персональні дані- Персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб'єкта персональних даних або на які відповідно до федеральних законів не поширюється вимога дотримання конфіденційності.

Опрацювання персональних даних.

1) законності цілей та способів обробки персональних даних та сумлінності;

2) відповідності цілей обробки персональних даних цілям, заздалегідь визначеним та заявленим при зборі персональних даних, а також повноваженням оператора;

3) відповідності обсягу та характеру оброблюваних персональних даних, способів обробки персональних даних цілям обробки персональних даних;

4) достовірності персональних даних, їх достатності для цілей обробки, неприпустимості обробки персональних даних, надлишкових по відношенню до цілей, заявлених під час збору персональних даних;

5) неприпустимість об'єднання створених для несумісних між собою цілей баз даних інформаційних систем персональних даних.

Якщо колись хтось заповнив дактилоскопічну карту, вона є в інформаційному центрі в їх базах даних. Ми не можемо, наприклад, об'єднати бази даних про звичайних громадян та осіб, які вчинили злочин.

1) за згодою власника персональних даних

2) без згоди власника персональних даних.

Це стосується осіб, які займають певне становище та посаду: військовослужбовці, трупи

Конфіденційність персональних даних:

Коли не потрібно:

1) у разі знеособлення персональних даних;

2) щодо загальнодоступних персональних даних.

- Оператором, який здійснює збір та обробку персональних даних.

- Обмежити доступ всередині власної організації

Оператор несе персональну відповідальністьза розповсюдження персональних даних

- Встановлення обмеження доступу як у приміщенні, так і в мережі (пропускна система, система карткової ідентифікації)

Для локальних мереж– система login+ пароль

Можна обмежити доступ до біометричної інформаціїОсі: відбиток пальця, сітківка ока.

- Про расову приналежність

— про політичні погляди

— про релігійні чи філософські переконання

- Про стан здоров'я

- Про інтимне життя

Їх обробка можлива лише за згодою суб'єктів.

1) наявність письмової згоди суб'єкта на їх опрацювання

2) якщо суб'єкт персональних даних зробив їх загальнодоступними

3) якщо дана інформаціявідноситься до інформації, необхідної для захисту життя, здоров'я та інших життєво важливих інтересів особи

Така інформація може надаватися з медико-профілактичною метою – наприклад, вірусна інфекція.

Особливість обробки персональних даних у державних чи муніципальних інформаційних системах обробки персональних даних.

- стосується лише державних службовців та муніципальних службовців.

Державний орган має власний статус, є самостійні системи обробки інформації про державних або муніципальних службовців.

1) встановлено, яка інформація потрібна у межах своєї компетенції

2) є ще ФЗ «Про державну цивільну службу», тобто регулюється не лише законодавством щодо персональних даних.

Відомості, що характеризують фізіологічні особливості людини та на основі яких можна встановити її особу (біометричні персональні дані), можуть оброблятися лише за наявності згоди у письмовій формі суб'єкта персональних даних, крім таких випадків:

1) скоєння злочину

Обробка біометричних персональних даних може здійснюватися без згоди суб'єкта персональних даних у зв'язку із здійсненням правосуддя, а також у випадках, передбачених законодавством України про безпеку, законодавством України про оперативно-розшукову діяльність, законодавством України про державну службу, кримінально-виконавчим законодавством України Федерації, законодавством Російської Федерації про порядок виїзду з Російської Федерації та в'їзду до Російської Федерації.

— збирання інформації з підозрюваного є незаконним

Обробка транскордонної інформації.

Можна вимагати з метою захисту громадян тієї країни, куди передається, збирається лише за письмовою згодою суб'єкта.

Права суб'єкта персональних даних.

1) Право суб'єкта персональних даних на доступ до своїх персональних даних

Не можна дзвонити до інформаційного центру МВС (головний інформаційний центр та зональний інформаційний центр)

2) Права суб'єктів персональних даних на обробку їх персональних даних з метою просування товарів, робіт, послуг на ринку, а також з метою політичної агітації

Достовірність інформації перевірятиметься іншими особами.

3) ухвалення рішень на підставі виключно автоматизованої обробки персональних даних. Людина може не довіряти автоматизованій обробці. Можна вимагати, щоб сліди пальців зберігалися у комп'ютері, а й у папері.

- Праця РФ - є глава, присвячена персональним даним.

ФЕДЕРАЛЬНИЙ ЗАКОН ПРО ДЕРЖАВНУ ДАКТИЛОСКОПІЧНУ РЕЄСТРАЦІЮ У РОСІЙСЬКІЙ ФЕДЕРАЦІЇ від 25 липня 1998 року N 128-ФЗ

Загальнодоступні персональні дані це

Персональні дані— будь-яка інформація, що стосується певного або визначеного на підставі такої інформації фізичній особі, в тому числі:

Його прізвище, ім'я, по батькові,

Рік, місяць, дата та місце народження,

Адреса, сімейний, соціальний, майновий стан, освіта, професія, доходи,

— іншаінформація (див. ФЗ-152, ст.3).

Наприклад: паспортні дані, фінансові відомості, медичні картки, рік народження (для жінок), біометрія, інша ідентифікаційна інформація особистого характеру.

У загальнодоступніджерела персональних даних (адресні книги, списки та інше інформаційне забезпечення) за письмовою згодоюфізичної особи можуть включатися її прізвище, ім'я, по батькові, рік та місце народження, адреса, абонентський номер та іншіперсональні дані (див. ФЗ-152, ст.8).

Персональні дані належать до інформації обмеженого доступуі повинні бути захищенівідповідно до законодавства РФ. При формуванні вимог безпеки систем персональні дані поділяють на 4 категорії.

Що таке оператор та суб'єкт персональних даних?

Оператор персональних даних- це, як правило, організація, а точніше - державний або муніципальний орган, юридична або фізична особа, що організують та (або) здійснюють обробку персональних даних, а також визначальні цілі та зміст обробки персональних даних.

Суб'єкт персональних даних- Це фізична особа.

Оператор відповідає за захист персональних даних суб'єкта відповідно до чинного законодавства РФ.

Як класифікувати інформаційну систему персональних даних?

Для того, щоб віднести типовуінформаційну систему персональних даних (ІСПДн) до того чи іншого класу необхідно:

ІІ. Визначити Об `ємперсональних даних, що обробляються в інформаційній системі:

обсяг 3- в інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктівперсональних даних чи персональні дані суб'єктів персональних даних у межах конкретної організації;

обсяг 2 від 1000 до 100 000 суб'єктівперсональних даних чи персональні дані суб'єктів персональних даних, що працюють у галузі економіки Російської Федерації, в органі державної влади, які проживають у межах муніципальної освіти;

обсяг 1- В інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктівперсональних даних чи персональні дані суб'єктів персональних даних у межах суб'єкта Російської Федерації чи Російської Федерації загалом;

ІІІ. За результатами аналізу вихідних даних типовийІСПДн присвоюється один із наступних класів(Див. табл.):

Клас 4 (К4) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, не призводить до негативних наслідків для суб'єктів персональних даних;

Клас 3 (К3) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до незначних негативних наслідків для суб'єктів персональних даних;

Клас 2 (К2) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до негативних наслідків для суб'єктів персональних даних;

Клас 1 (К1) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до значних негативних наслідків для суб'єктів персональних даних.

Судний день відстрочено до 1 січня 2011 року

Інформаційні системи персональних даних, створені до дня набрання чинності Федеральним законом РФ № 152 «Про персональні дані», повинні бути приведені у відповідність до вимог цього Федерального закону не пізніше 1 січня 2010 року (див. ФЗ-152, ст.25).

Це означає, що оператори персональних даних, які не зуміли виконати вельми жорсткі вимоги ФЗ-152, з 1 січня 2010 р. понесуть відповідну цивільну, адміністративну, дисциплінарну, а можливо (не дай Боже) і кримінальнувідповідальність .

Усі інформаційні системи, вже прийняті в експлуатацію після лютого-квітня 2008 р. (з моменту розсилки методичних документів ФСТЕК Росії та ФСБ Росії), але не відповідають вимогам російського законодавства в галузі персональних даних, можуть понести зазначену відповідальність і раніше, наприклад, завтра вранці .

Примітка. Зміни в КК РФ, які значно посилюють відповідальність за порушення, що стосуються недоторканності приватного життя, теж набудуть чинності з 1 січня 2010 року.

Але як завжди трапляється, оператори персональних даних особливо не рухалися, і мало хто встиг зробити все, що потрібно. 16 грудня 2009 р. Держдума ухвалила у третьому читанні поправки до статей 19 та 25 закону «Про персональні дані» (152-ФЗ). Термін приведення інформаційних систем персональних даних (ІСПДн) у відповідність до цього закону перенесли на рік – до 1 січня 2011 р. Крім того, із закону виключено норму, яка зобов'язує оператора при обробці персональних даних використовувати шифрувальні (криптографічні) засоби для захисту даних.

Обов'язкові вимоги щодо захисту інформаційних систем персональних даних

Основні обов'язкові вимоги до організації системи захисту інформації в залежності від класу типової ІСПДН:

Для ІСПДн класу 4:

Перелік заходів щодо захисту персональних даних визначається оператором (залежно від можливої ​​шкоди)

Для ІСПДн класу 3:

Декларування відповідності або

Отримання ліцензії ФСТЭК Росії на діяльність із технічного захисту конфіденційної інформації (для розподілених систем ИСПДн К3)

Для ІСПДн класу 2:

Обов'язкова атестація щодо вимог безпеки інформації

Отримання ліцензії ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації для розподілених систем

Для ІСПДн класу 1:

Обов'язкова атестація щодо вимог безпеки інформації

Повинні бути реалізовані заходи щодо захисту персональних даних від ПЕМІН

Отримання ліцензії ФСТЕК Росії на діяльність з технічного захисту конфіденційної інформації

Порядок дій щодо захисту інформаційної системи персональних даних

Послідовність дій під час виконання вимог законодавства щодо обробки персональних даних:

1) Повідомлення до уповноваженого органу захисту прав суб'єктів персональних даних про свій намір здійснювати обробку персональних даних з використанням засобів автоматизації;

2) Передпроектне обстеження інформаційної системи – збір вихідних даних;

3) класифікація системи обробки персональних даних;

4) Побудова приватної моделі загроз з метою визначення їхньої актуальності для інформаційної системи;

5) Розробка приватного технічного завдання систему захисту персональних даних;

6) Проектування системи захисту персональних даних;

Відповідальність за порушення з обробки персональних даних

Особи, винні у порушенні вимог Федерального закону 152-ФЗ «Про персональні дані», несуть:

- Кримінальну (див. Кримінальний кодекс Російської Федерації, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),

Адміністративну (див. Кодекс Російської Федерації про адміністративні правопорушення, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),

Дисциплінарну (див. Трудовий кодекс Російської Федерації, ст.81; ст.90; ст.195; ст.237; ст.391)

та іншу передбачену законодавством РФ відповідальність (див. підзаконні акти по роботі з персональними даними, що видаються у суб'єктах РФ, відомствах та організаціях).

ФСТЕК - Федеральна службаз технічного та експортного контролю.

ПЕМІН- Побічні Електромагнітні випромінюваннята Наведення

Захист персональних даних

У грудні 2014 року Державною думою у третьому читанні було ухвалено законопроект про зберігання персональних даних громадян, опрацьованих в інтернеті, на серверах у Росії. За словами члена комітету з інформполітики Романа Чуйченка, головною метою законопроекту є посилення інформаційної безпекикраїни та її громадян. Такий захід було вжито у зв'язку з ускладненням міжнародної ситуації. Цей законопроект набуде чинності з 1 вересня 2015 року.

Набуття чинності новим положенням про захист персональних даних передбачає забезпечення операторами персональних даних:

• своєчасного виявлення несанкціонованого доступу до ПДН;
• недопущення впливу на технічні засоби, що здійснюють автоматизовану обробку ПДН;
• можливості оперативного реагування на факт несанкціонованого доступу та негайного відновлення ПДн у випадках їх знищення чи зміни;
• постійного контролю над рівнем захищеності персональних даних.

Категорії персональних даних

Обробка ІСПД також може здійснюватися за параметром «обсяг оброблюваних персональних даних», який передбачає кількість суб'єктів, що обробляються в інформаційній системі, і може приймати наступні значення:

• одночасна обробка більш ніж 100 тисяч суб'єктів ПДн (виконується як у межах суб'єкта РФ, так і в цілому);
• одночасна обробка ПДн від 1 до 100 тисяч суб'єктів (виконується в органі гос.власти, які працюють у галузі економіки РФ);
• Одночасна обробка ПДН менше ніж 1 тисячі суб'єктів (виконується в межах конкретної організації).

Поділ на категорії дозволяє не тільки визначити клас ІСПДН, а й встановити комплекс заходів щодо забезпечення безпеки та захисту персональних даних в інтернеті, під час обробки в інфосистемах.

Персональні дані працівника

Право захисту своїх персональних даних має кожен працівник (п. 9 ст. 86 ТК РФ).

Відповідно до ст. 89 Трудового кодексу РФ своє право на охорону та захист ПДН кожен працівник може реалізувати за допомогою таких дій:

• вільний безкоштовний доступ до своїх персональних даних, у тому числі отримання копії будь-якого запису, в якому містяться ПДН працівника;
• визначення особистого представника захисту своїх персональних даних;
• отримання повної інформаціїпро ПДн та їх обробку;
• виставлення вимог про виключення або виправлення персональних даних, що містять неправильну інформацію або якщо вони були оброблені з порушенням вимог законодавства;
• оскарження в суді неправомірних дій роботодавця, а також його бездіяльність під час обробки та захисту ПДН.

Склад персональних даних працівника

З п.2 ст.86 ТК РФ обсяг і змістом персональних даних працівника визначаються роботодавцем відповідно до Конституцією РФ, Трудового кодексу та інші федеральними законами. Як правило, діяльність будь-якої організації передбачає використання роботодавцем у документообігу два основні види документів:

1. Документи, що надаються працівником під час укладання трудового договору (ст.65 ТК РФ). До цієї категорії належать документи, що містять фотозображення працівника, ПІБ, відомості про місце та дату народження, громадянство, сімейне становище, місце реєстрації, освіту, спеціальність (паспорт, страхове свідоцтво державного пенсійного страхування, військовий квиток тощо).
2. Документи, що формуються роботодавцем самостійно (первинна облікова документація з обліку праці та її оплати). Ця категорія включає накази або розпорядження про прийом працівника, розірвання трудового договору, заохочення працівника, особиста картка, документи з оплати праці.

Захист персональних даних, відповідальність за порушення законодавства

Зазначимо, деякі санкції порушення окремих складів правопорушень поширюються як у фізичних і посадових осіб, і на юридичних.

Відповідно до ст.150 Цивільного кодексу РФ недоторканність приватного життя, особистої та сімейної таємниці належить до невідчужуваних нематеріальних прав, що знаходяться під захистом чинних законів.

Зазначимо, що права та обов'язки працівника, які мають пряме відношення до ПДН інших працівників, визначаються умовами трудового договору та складом локальних нормативно-правових актів, що встановлюють трудові функції працівника та перелік його посадових обов'язків.

Адміністративна відповідальність за порушення порядку збору, зберігання та розповсюдження персональних даних тягне за собою попередження або штраф у розмірі: від 300 до 500 рублів - для фізичних осіб; від 500 до 1000 рублів - посадових осіб, від 5 до 10 тисяч рублів - для юридичних осіб (ст. 13.11 КпАП РФ). Адміністративна відповідальність за поширення інформації, що охороняється законом, при виконанні службових та професійних обов'язків, тягне за собою штраф у розмірі: від 500 до 1000 рублів – для фізичних осіб, від 4 до 5 тисяч рублів – для посадових осіб (ст. 13.14 КпАП РФ) .

Порушення недоторканності приватного життя, зокрема персональних даних, особою під час використання свого службового становища передбачає покарання у вигляді:

• штрафу у розмірі від 100 до 300 тисяч рублів, заробітної платиабо іншого прибутку правопорушника протягом 1-2 років;
• позбавлення права обіймати певні посади терміном від 2 до 5 років;
• арешту терміном від 4 до 6 місяців.