Персональные данные. Что относится к персональным данным, общедоступные, в том числе базы данных, категории. Базы данных персональных данных

152-ФЗ. ЦОДы, базы данных и уведомления о них / Хабр

Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать:10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; До недавнего времени данное требование не дублировалось ни в Административном регламенте Роскомнадзора, ни в формах соответствующих Уведомлений (их две — для подачи в бумажном и в электронном виде — и как ни странно они различны). Но поскольку закон-есть-закон (изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу этим летом), то логично, что Роскомнадзор требовал с операторов указывать эти данные в уведомлении. И естественно это вызывало трудности у операторов, поскольку на вопрос что и где нужно указывать ответить никто не мог.

Но все меняется и Минсвязи выпустило Приказ от 28 августа 2015 г. N 315 (ссылки в pdf, текстовом виде). Согласно Приказу вносятся изменения в Административный регламент — пункты 46 (данные, вносимые в реестр) и 54 (данные, указываемые в Уведомлении) дополняются следующим:

Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации. Соответственно меняется и форма Уведомления (она приведена в приложении к Приказу). И вот тут начинается интересное.

Напомним, что согласно текущей редакции 152-ФЗ:

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения: Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; То есть Уведомление:

может направляться либо в бумажном, либо в электронном виде;
закон не делает разницы по составу предоставляемой информации между обоими вариантами.

И если мы посмотрим на бумажную форму Уведомления, то добавился абзац, в котором нужно указать страну, адрес местонахождения базы данных, наименование информационной системы (базы данных).

Кстати, если посмотреть в текст 152-ФЗ, то информационная система персональных данных это:

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; Даже не говоря о том, что персональные данные могут быть не только в составе баз данных — баз данных может быть множество (и это логично), но вот указать согласно форме уведомления нужно одну. Почему так? Загадко.

Но перейдем к электронной форме Уведомления.

После трансграничной передачи данных идет раздел, описывающий сведения о базе данных. Но это по заголовку. А по тексту требуется описать адрес ЦОДа! Сразу вопрос — все перешли в облака? Что писать, если ЦОД не используется?

Заполним форму

Несмотря на предложение выбрать из справочника — никакого справочника нет. Данные вводятся вручную

Если не указать явно, что используется собственный ЦОД, то появляется запрос на указание данных о владельце ЦОДа:

Естественно ничего подобного по Административному регламенту не требуется:

46. В Реестр вносятся следующие сведения: 46.1. Регистрационный номер. 46.2. Наименование (фамилия, имя, отчество), адрес Оператора. 46.3. Адреса филиалов (представительств) Оператора (при наличии). 46.4. Дата направления Уведомления. 46.5. Цель обработки персональных данных. 46.6. Категории персональных данных. 46.7. Категории субъектов, персональные данные которых обрабатываются. 46.8. Правовое основание обработки персональных данных. 46.9. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных. 46.10. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств. 46.11. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты. 46.12. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки. 46.12.1. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации 46.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. 46.14. Дата начала обработки персональных данных. 46.15. Срок или условие прекращения обработки персональных данных.

Еще одно отличие электронной формы от бумажной — возможность (необходимость?) указания всех баз данных (ЦОДов в формулировке электронного Уведомления), которые есть в организации. Ни в вышеупомянутом Приказе (и в утвержденной им формой уведомления), ни в законе подобного требования нет.

Помимо общей информации, требуемой в бумажной форме, здесь нужно указывать куда больше сведений и каждой базе данных — причем согласно форме одна база соответствует одной ИС

Требуется ли в связи со вступлением в силу этих уведомлений направлять уведомление? Согласно Закону:

7. В случае изменения сведений (ранее поданных в Роскомнадзор)… а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. То есть Закон четко говорит, что уведомлять не нужно. Согласно закону по новой форме нужно подавать данные только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года (дата вступления в силу изменений в Уведомлении) или на крайний случай и тем, кто отправляет уведомления после вступления в силу изменений в Законе.

Но это формально. По факту традиционно все будет решаться позицией на местах — и прецеденты уже имеются.

Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Алтайскому краю и Республике Алтай Жданов А.П. прямо и четко сказал, что они (это управление и отдел в частности) считают, что ч. 7 ст. 22 152-ФЗ распространяется и на ситуацию с добавление в ч. 3 ст 22 новый пунктов вообще и расположении БД в частности. Т.е. они при проверках будут считать нарушение не подачу Информационного письма о внесении изменений… И последнее. О собственно базах данных. Что это такое — определения нет. Но есть позиция Роскомнадзора

(подробнее тут). То есть под понятие базы данных попадет любой упорядоченный список данных — хоть в текстовом файле. Соответственно заполняя электронное уведомление нужно указать все места расположения всех упорядоченных массивов информации. Для всех офисов, ЦОДов и субподрядчиков. Благо пока не требуют указывать адреса личных (BYOD!) и домашних компьютеров.

Подведем итоги:

Уведомления бумажное и электронное существенно отличаются.
Согласно 152-ФЗ персональные данные могут быть только в составе баз данных.
Что есть база данных — определения нет, но скорее всего толковаться будет как неким образом упорядоченная информация, сохраненная в электронном виде.
Указывать нужно места хранения только баз данных для граждан РФ. В принципе понятно, откуда взялось это требование — оно родилось на волне требований о переносе мест обработки персональных данных в Россию. Но войдя в закон — оно стало выглядеть странно — мы не заинтересованы в защите данных граждан и подданных иных стран? Отсюда же кстати возникли и базы данных — борьба шла за перенос из зарубежных ЦОДов. Но опять же войдя в закон это стало источником странностей.
Не определено, что есть месторасположение. С какой точностью нужно указывать согласно закону — с точностью до страны или дома? Лично мне не понятно, зачем государству знать все места расположения всех персональных данных (да — согласно букве закона — с точностью до последнего мобильного на любой момент времени, если на нем хранится упорядоченная информация).

habr.com

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

minsvyaz.ru

если можно, то как? / Блог компании ATLEX / Хабр

После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС». В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:

«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица». Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления термин «цифровой след».

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства "Ефимов и партнеры", к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается». Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей. Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных. Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

В сухом остатке

Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.

Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.

Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.

Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.

Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.

habr.com

Закон о хранении персональных данных простыми словами. Защита персональных данных в России

Персональные данные – это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение этого закона?

закон о хранении персональных данных

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор – это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор – это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или серия паспорта. Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

разглашение персональных данных

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных – важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например – адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные – это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В законодательных актах встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них – обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

защита персональных данных

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

замена части информации;
замена цифровых данных:
сокращение сведений;
распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных – это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

фз о персональных данных

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

обеспечение безопасности персональных данных

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона – обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов – email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

использование персональных данных

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

безопасность персональных данных

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

fb.ru

Нормативная правовая база в области персональных данных

Данные в статье актуальны по состоянию на 1 июля 2017 года.

Свежие данные смотрите в блоге.

Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных» в 1981 году. Государственная Дума Российской Федерации ратифицировала указанную Конвенцию, приняв в конце 2005 года соответствующий Федеральный закон (№ 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных» от 19 декабря 2005 г. N 160-ФЗ с заявлением). Конвенция вступила в силу для Российской Федерации 1 сентября 2013 г. Таким образом, у Российской Федерации возникла необходимость в принятии соответствующего Закона, определяющего политику в области защиты прав субъектов персональных данных. Таким Законом стал принятый Государственной думой 08.07.2006 года и подписанный Президентом Российской Федерации 27.07.2006 г. Федеральный закон № 152-ФЗ «О персональных данных». Положения Закона стали обязательными к исполнению с января 2007 года.

Положения Федерального закона № 152-ФЗ определили основные требования, которые затем были конкретизированы в актах Правительства РФ и Министерства связи и массовых коммуникаций РФ (Минкомсвязи), методических документах Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор), Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России). В настоящее время Федеральный закон претерпел 17 редакций, последняя из которых датируется 22 февраля 2017 года.

Ниже будет дана актуальная иерархия документов, действующих в области обработки и защиты персональных данных по состоянию на 1 июля 2017 года.

Наименование документа, номер и дата его принятия

Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Совет Европы, Страсбург, 28 января 1981 г.) ETS № 108

Федеральный закон РФ от 27.07.2006 № 152-ФЗ "О персональных данных"

"Трудовой кодекс Российской Федерации" от 30.12.2001 № 197-ФЗ

Федеральный закон РФ от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации"

Указ Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"

Указ Президента Российской Федерации от 17 марта 2008 года N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"

Указ Президента Российской Федерации от 6 марта 1997 года N 188 "Об утверждении перечня сведений конфиденциального характера"

Постановление Правительства РФ от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Постановление Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

"Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (утв. Приказом Роскомнадзора от 05.09.2013 №996)

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утв. Приказом ФСТЭК России от 11 февраля 2013 № 17)

"Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в ИСПДн" (утв. Приказом ФСТЭК от 18.02.2013 №21)

"Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (утв. Приказом ФСБ России от 10.07.2014 № 378)

"Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. Приказом начальника 8 Центра ФСБ России от 31.03.2015 № 149/7/2/6-432)

Более детальную информацию по действующим документам можно почерпнуть из следующей Таблицы, которая содержит хронологические данные по ранее изданным правовым документам в области обработки и защиты персональных данных.

Так же, Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных размещен на официальном сайте Роскомнадзора. Указанный перечень содержит описание круга лиц и перечень объектов, в отношении которых устанавливаются обязательные требования, а также указание на конкретные пункты приведенных актов, подлежащие обязательному применению.

Понравилось это:

Нравится Загрузка...

Похожее

Понравилась статья? Подпишитесь на электронную подписку - это абсолютно бесплатно! Все самые свежие ИТ Новости и интересные материалы будут приходить вам на почту, вы сможете читать новости с экрана компьютера, планшета или телефона.

iteranet.ru

Защита персональных данных. Регистрация баз данных

Захист персональних даних. Реєстрація баз даних Среди предприятий и частных предпринимателей на протяжении нескольких предновогодних недель наблюдается некоторая паника. Вызвана она необходимостью регистрации баз персональных данных. Попробуем разобраться в ситуации.

Что такое база персональных данных?

Еще в 2010 году был принят Закон «О защите персональных данных» от 01.06.2010 г. № 2297-VI. Вступил в силу этот Закон 01.01.2011 г.

Согласно ст. 2 Закона:

Що таке база персональних даних Получается, что база персональных данных – это сведения о физических лицах. На каждом предприятии есть работники. Могут они быть и у частного предпринимателя. Более того, почти у каждого субъекта хозяйственной деятельности есть контрагенты – физлица. Следовательно, требования Закона распространяются практически на все предприятия и многих частных предпринимателей.

Статьей 9 Закона предусмотрено, что базы персональных данных (БПД) подлежат обязательной государственной регистрации.

Почему же вокруг вопроса регистрации БПД возник такой ажиотаж?

Дело в том, что с начала 2012 года вступает в силу статья 188-39 Кодекса административных правонарушений, согласно которой за уклонение от регистрации к гражданам и должностным лицам будут применяться «недетские» штрафы: от 300 до 1000 необлагаемых минимумов или от 5 100 до 17 000 грн.

Кроме того, статьей 188 Уголовного кодекса в новой редакции (действует с 01.01.2012) также предусмотрена уголовная ответственность за незаконный сбор, хранение и т. д. конфиденциальной информации о лице.

Как зарегистрировать базы персональных данных?

Кабмином утверждено положение о Госреестре баз персональных данных (постановление от 25.05.2011 №616). Согласно Положению держателем реестра БПД является Государственная служба по вопросам защиты баз персональных данных (ГСЗПД, укр. — ДСЗПД), которая и проводит регистрацию БПД.

Минюст приказом от 08.07.2011 N 1824/5 утвердил форму и порядок подачи заявлений о регистрации БПД. Просмотреть, скачать заявление и порядок можно, например, на сайте ДСЗПД: www.zpd.gov.ua.

Здесь также можно найти контактную информацию регистратора: адрес, телефон канцелярии и горячей линии, электронный адрес.

Как заполнить заявление?

На каждую базу заполняется отдельное заявление и получается отдельное свидетельство. Кратко рассмотрим, что нужно писать в заявлении.

С разделом I сложностей возникать не должно – сюда мы заносим информацию о предприятии или предпринимателе, который подает заявление.

В разделе II указываем:

— наименование БД, например: «База даних працівників підприємства» или «База даних контрагентів – фізичних осіб»;

— местонахождение БД: скорее всего, это будет адрес офиса, или место расположения сервера, если работа с информацией ведется с помощью удаленного доступа.

Раздел III

Здесь нам предлагают определиться с целью обработки ПД, сославшись на нормы законов или внутренних документов, и выбрать категорию обработки ПД.

Из Закона явно не следует, что нужно считать категорией обработки ПД. Это становиться понятным только из примера заполнения заявления, размещенного на сайте ГСЗПД (ДСЗПД). Речь идет о характере персональных данных: общие или чувствительные (подробнее – см. ниже). А целью является обеспечение реализации конкретного вида отношений (перечень возможных видов отношений приведен дальше).

ГСЗПД предлагает пример заполнения данного раздела заявления:

В большинстве случаев обрабатываемые ПД будут носить общий характер. Это и нужно указать в заявлении, а также конкретизировать виды общих данных, опираясь на пример (фамилия, имя, отчество, дата рождения и т. д.).

Виды отношений, которые требуется указать, можно выбрать из следующего перечня:

Для базы данных работников это будут трудовые, административно-правовые, налоговые и отношения в сфере бухгалтерского учета. Нормативно-правовые акты, на которые требует сослаться ГСЗПД, можно указать, например, такие:

— п.п. «б» п. 176.2 Податкового кодексу України (необходимость подачи формы 1ДФ)

— п.п. 4 п. 2 ст. 6 Закону України «Про збір та облік єдиного внеску» (предоставление отчета по ЕСВ)

— наказ Держкомстату та Міноборони від 25.12.2009 №495/656 (ведение личной карточки работника (форма №П-2))

— ст. 9 Закону «Про бухгалтерський облік та фінансову звітність в Україні» (составление первичных документов и регистров бухгалтерского учета).

Для базы данных контрагентов – физических лиц налоговые отношения и отношения в сфере бухгалтерского учета также будут актуальными. При этом можно сослаться на п.п. «б» п. 176.2 НКУ и ст. 9 Закона «О бухгалтерском учете» (см. выше). Необходимость указывать другие виды отношений для этой базы зависит от вида деятельности предприятия или предпринимателя.

В примере заполнения подраздела «Правові підстави обробки ПД» Раздела III заявления указаны три возможных правовых основания обработки ПД:

Можно указать все три. Но при этом нужно иметь в виду следующее:

1. Вопрос обязательности получения письменного согласия от субъекта на обработку его ПД в том случае, если необходимость ведения базы прямо предусмотрена законом (например, для ведения учета и составления отчетности), Законом «О защите ПД» однозначно не урегулирован и является дискуссионным. С одной стороны, п. 2 ст. 11 Закона выделяет такую необходимость как самостоятельное основание для обработки ПД, отличное от получения согласия субъекта. С другой стороны, в соответствии с п. 6 ст. 6 Закона согласие не требуется в случаях, предусмотренных законом, только в интересах национальной безопасности, экономического благосостояния и прав человека. Поэтому, чтобы чувствовать себя уверенно, письменное согласие физлица на обработку ПД лучше получить (в произвольной форме).

2. В качестве законов, которые дают разрешение на обработку ПД, можно указать упомянутые выше, плюс сам Закон «О защите ПД».

3. Третье основание стоит включать в заявление, если правоотношения возникли до 01.01.2011, то есть, до вступления в силу Закона «О защите ПД».

Отметим, что на сайте ГСЗПД приведены одинаковые примеры заполнения Раздела III заявления как для владельцев БПД — юридических лиц, так и для физических лиц – предпринимателей.

В разделе IV указываем информацию о распорядителях БД, если таковые имеются – это физические или юридические лица, которым согласно заключенным договорам предоставлено право обрабатывать БПД.

Далее, подаем заполненное заявление регистратору ДСЗПД и в течение 10 дней ожидаем решения. В случае положительного исхода – получаем свидетельство о государственной регистрации базы персональных данных.

Если у вас оформлена электронная цифровая подпись (получить ЭЦП во Владимире), заявление о регистрации можно подать в электронной форме.

biznesinalogi.com

Персональные данные. Что относится к персональным данным, общедоступные, в том числе базы данных, категории

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ, ОБЩЕДОСТУПНЫЕ, В ТОМ ЧИСЛЕ БАЗЫ ДАННЫХ, КАТЕГОРИИ

В настоящем материале анализируется понятие персональных данных, раскрываются случаи и условия создания общедоступных источников персональных данных и приводятся случаи, когда допускается обработка специальных категорий персональных данных. Прежде напомним, что вопросы, связанные с обработкой и защитой персональных данных регламентируют следующие нормативные акты: - Федеральный закон от 27.07.2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ). - глава 14 "Защита персональных данных работника" Трудового кодекса РФ (далее - ТК РФ). Положения Закона N 152-ФЗ касаются всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает. Необходимо отметить, что нормы Закона N 152-ФЗ не распространяются на отношения, возникающие при: • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22.12.2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации". Под персональными данными, как следует из статьи 3 Закона N 152-ФЗ, подразумевается любая информация прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу). Таким образом, персональные данные - это персонализированная информация, которая позволяет однозначно определить, о каком именно лице идет речь. Закон N 152-ФЗ делит персональные данные на три вида: • общие; • специальные; • биометрические. К общим персональным данным относят Ф.И.О., место жительства, паспортные данные, сведения об образовании, квалификации и стажировке, размере заработка, предыдущей трудовой деятельности и т. д. Данная информация содержится в паспортах, дипломах, военных билетах, в личных карточках работников, трудовых книжках, приказах по личному составу, трудовых договорах, справках о доходах и др.