Какие персональные данные не требуют обеспечения конфиденциальности
Перейти к содержимому

Какие персональные данные не требуют обеспечения конфиденциальности

  • автор:

Какие персональные данные не требуют обеспечения конфиденциальности

Ответы на вопросы

Вопрос: Что включает в себя понятие конфиденциальности?

Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?

Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?

Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?

Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Вопрос: Необходимо ли согласие субъектов персональных данных (граждан) в случае передачи персональных данных граждан третьему лицу (РКЦ) обслуживающей многоквартирный дом Управляющей компании для формирования квитанций на оплату ЖКУ? Правомерны ли в данном случае действия Управляющей компании?

Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Следовательно, Управляющая компания является оператором, осуществляющим обработку персональных данных граждан.

В соответствии с ч. 3 ст. 6 настоящего закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Таким образом, в силу договорных отношений, возникших между Управляющей компанией и РКЦ, осуществляющей начисление платы за ЖКУ и выпуск квитанций, в силу исполнения требований жилищного законодательства, предоставление одной организацией персональных данных жильцов дома другой организации является допустимым.

На основании ч. 5 вышеназванной нормы права, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Вопрос: Какие санкции существуют за не представление ответа на запрос уполномоченного органа по защите прав субъектов персональных данных? Необходимо ли указывать в уведомлении об обработке (о намерении осуществлять обработку) персональных данных лечебного учреждения сведения о физических лицах, обратившихся за медицинской помощью в данное лечебное учреждение?

Ответ: Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также ведение Реестра операторов, осуществляющих обработку персональных данных на территории РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций.

На территории Приморского края таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Дальневосточному федеральному округу — (Управление Роскомнадзора по Дальневосточному федеральному округу).

Для формирования Реестра операторов, осуществляющих обработку персональных данных, Управлением операторам направляются запросы о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

На основании требования ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 3 ст. 22), за исключением случаев, предусмотренных ч. 2 настоящей статьи Закона.

Оператор в соответствии с ч. 4 ст. 20 Закона обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Непредставление запрашиваемых сведений, а равно представление таких сведений в неполном объеме, является нарушением требований данной статьи Закона и влечет административную ответственность по статье 19.7 КоАП РФ (наложение административного штрафа).

В случае не предоставления или несвоевременного представления вышеуказанных сведений организациями, которым был направлен запрос, государственными инспекторами Управления составляются протоколы об административном правонарушении по ст. 19.7 КоАП РФ и направляются на рассмотрение мировым судьям.

Категории персональных данных — это фамилия, имя, отчество, адрес, паспортные данные, образование, состав семьи, доходы, пол, гражданство, данные пенсионного свидетельства, биометрические данные (фотография), сведения о воинском учете, ИНН, состояние здоровья, контактная информация и т.д. На сайте https://25.rkn.gov.ru/p17348/p32648/ размещены образцы уведомлений, из которых видно, что указывать в уведомлении сведения о физических лицах, обратившихся за медицинской помощью в лечебное учреждение (пациентам) не нужно, т.к. категории персональных данных, указываемые в данном документе, являются обезличенными. Таким образом, направление в Управление персональных данных по каждому субъекту персональных данных (пациенту) не требуется.

Лечебными учреждениями должен быть решен вопрос о предоставлении в Управление уведомления об обработке персональных данных или мотивированного ответа.

Вопрос ГУЗ «Краевая клиническая больница № 2»: в праве ли данное учреждение спрашивать согласие на обработку персональных данных у пациентов, которые получают медицинские услуги в рамках программы обязательного медицинского страхования?

Ответ: в соответствии с ч. 2 ст. 6 Закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (п. 1); обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (п. 2); обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п. 3). Обработка специальных категорий персональных данных, касающихся состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона, в т.ч. в случае: обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования (п. 8). При этом операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность и безопасность персональных данных при их обработке (п. 4 ст. 6, ст. 7 Закона).

Вопрос гр. К.: в организации ко дню рождения работников практикуется размещение в общедоступном месте списка работников с указанием их персональных данных. Согласия работников на размещение на стенде их персональных данных не имеется. Являются ли правомерными действия работодателя?

Ответ: ст. 3 Федерального закона «О персональных данных» определяет понятие персональных данных как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных ч. 2 ст. 7 Закона: обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов (ст. 8 Закона). Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (ст. 3 Закона). В соответствии со ст. 9 данного Закона субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

Таким образом, размещение в общедоступных местах работодателем списка работников с указанием фамилии, имени, отчества, даты рождения работника без письменного согласия на обработку этих персональных данных является нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Вопрос: Вправе ли должностное лицо, в производстве которого находится дело об административном правонарушении, запрашивать у организаций персональные данные их работников?

Ответ: В соответствии со статьей 28.3 КоАП РФ протоколы об административных правонарушениях составляются должностными лицами органов, уполномоченных рассматривать дела об административных правонарушениях в пределах компетенции соответствующего органа.

Требования к содержанию протокола об административном правонарушении установлены статьей 28.2 КоАП РФ. В частности, в протоколе об административном правонарушении указываются сведения о лице, в отношении которого возбуждено дело об административном правонарушении.

Кроме того, статьей 26.10 КоАП РФ предусмотрено, что орган, должностное лицо, в производстве которых находится дело об административном правонарушении, вправе вынести определение об истребовании сведений, необходимых для разрешения дела. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения. При невозможности представления указанных сведений организация обязана в трехдневный срок уведомить об этом в письменной форме судью, орган, должностное лицо, вынесших определение.

Пунктом 1 части 2 статьи 6 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» предусмотрена обработка персональных данных на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора без согласия субъекта персональных данных.

Таким образом, должностное лицо органа, уполномоченного составлять и рассматривать протоколы об административном правонарушении вправе в рамках производства по делу об административном правонарушении запрашивать у организаций персональные данные их работников, в отношении которых возбуждено дело об административном правонарушении. Истребуемые сведения должны быть направлены в трехдневный срок со дня получения определения в порядке, предусмотренном ст.26.10 КоАП РФ .

Вопрос: У нас стоматологический кабинет, сбор персональных данных пациентов производится на бумажных носителях, в электронном виде обрабатываются только снимки с визиографа, доступа к сети Интернет нет. Нужно ли нам оформлять к договору на оказание услуг приложение с согласием на обработку персональных данных пациентов, если у нас база пациентов на бумажных носителях?

Ответ: Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон). Обработка персональных данных допускается в определенных случаях, указанных в части 1 статьи 6 Закона, в том числе, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Обработка специальных категорий персональных данных (часть 1 статьи 10 Закона) также допускается в определенных случаях, в том числе если обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (пункт 4 части 2 статьи 10 Закона).

Следовательно, если обработка персональных данных соответствует вышеуказанным статьям Закона и принципам обработки персональных данных, указанных в статье 5 Закона, то согласия на обработку персональных данных не требуется.

Вопрос. Сайты, которые собирают информацию о гражданах из различных социальных сетей. При вводе в поисковике в сети Интернет ФИО отображаются сайты с персональными данными (фотографии, место проживания, дата рождения и т.д.). Имеют ли право владельцы сайтов размещать информацию, содержащую персональные данные субъектов персональных данных, в сети интернет.

Ответ. Обработка (в том числе передача, распространение) персональных данных регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка персональных данных допускается с согласия субъекта персональных данных на обработку его персональных данных (пункт 1 части 1 статьи 6).

Обработка персональных данных, без согласия субъекта персональных данных, допускается и регулируется статьей 6 Федерального закона № 152-ФЗ «О персональных данных».

Вопрос. Существуют общедоступные источники персональных данных, различные справочники, каталоги и т.д.

Имеет ли право субъект персональных данных обратится к владельцу такого справочника с вопросом об удалении его персональных данных из базы данных такого справочника.

Ответ. Имеет. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Вопрос. Согласие на обработку персональных данных дается свободно, своей волей и в своем интересе. Будет ли действительным согласие на обработку персональных данных без указания цели и срока обработки персональных данных.

Ответ. Согласие субъекта персональных данных на обработку его персональных данных без указания цели и срока обработки персональных данных не действительно.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя все пункты определенные частью 4 статьи 9 Федерального закона № 152-ФЗ «О персональных данных».

Вопрос. На мобильный телефон постоянно поступают СМС сообщения, содержащие ФИО, рекламного характера, своего согласия на такие действия я ни кому не давала. Законно ли это.

Ответ. Незаконно. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

Время публикации: 26.10.2020 11:36
Последнее изменение: 03.12.2021 10:40

  • Министерство цифрового развития, связи и массовых коммуникаций РФ
  • РСпектр
  • Единый реестр запрещенной информации
  • Реестр нарушителей авторских прав
  • Публичный реестр инфраструктуры связи и телерадиовещания РФ
  • Портал персональных данных

Политика конфиденциальности и защиты персональных данных

Сайты – совокупности программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет по следующим адресам: http://www.cyberprotect.ru, partners.cyberprotect.ru, test.cyberprotect.ru, download.cyberprotect.ru.

Пользователь (субъект персональных данных) – физическое лицо — пользователь сети Интернет, в частности, Сайтов, которое определено (прямо или косвенно) либо определяемо с помощью персональных данных.

Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Киберпротект – ООО «Киберпротект», являющееся оператором персональных данных в значении, указанном в Федеральном законе.

Распространение персональных данных – действие, направленное на раскрытие персональных данных неопределенному кругу лиц.

Политика – настоящая Политика конфиденциальности и защиты персональных данных.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Сервисы — любое программное обеспечение, любые продукты и/или услуги Киберпротект.

В настоящей Политике используются иные термины и определения, содержащиеся в ст. 3 Федерального закона, в значении таких терминов и определений, определенном Федеральным законом.

Положения настоящей Политики в отношении конфиденциальности персональных данных распространяются также на любую другую информацию, которую Киберпротект и/или его аффилированные лица, в том числе входящие в одну группу с Киберпротект, могут получить о Пользователе в процессе использования им Сайтов, программ, продуктов и/или услуг Киберпротект, а также в ходе исполнения Киберпротект/его аффилированными лицами любых соглашений и договоров, заключенных с Пользователем, если иное не предусмотрено в самих соглашениях и договорах.

1.Общие положения

1.1.В соответствии с настоящей Политикой осуществляется:

  • обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайтов; защита конституционных прав граждан на конфиденциальность сведений, составляющих персональные данные, исключение несанкционированных действий по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Киберпротект и предотвращение возникновения возможной угрозы безопасности;
  • обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Пользователь может находиться на Сайтах, не предоставляя Киберпротект свои персональные данные или не предоставляя свое согласие на их обработку. Пользователь может вводить минимальное количество информации (фамилия и контактная информация) в свой профиль по своему желанию (при наличии такового). Персональные данные необходимы для обеспечения Киберпротект возможности оказывать услуги, а также для подтверждения личности Пользователя. Пользователь может управлять своими подписками от Киберпротект и отзывать свое согласие в отношении маркетинговых коммуникаций в любое время.

1.3. Если Пользователь не предоставляет Киберпротект свои данные, Киберпротект не сможет связаться с Пользователем или оказать ему услуги.

1.4. Персональные данные, предоставленные Киберпротект, будут использоваться в целях, указанных в данной Политике.

1.5. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

1.6. Киберпротект не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.

1.7. Киберпротект не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

1.8. Для тех или иных видов услуг Киберпротект может публиковать условия, дополняющие настоящую Политику. Если иное не предусмотрено настоящей Политикой, Киберпротект не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайтах Киберпротект. На сайтах третьих лиц может применяться собственная политика конфиденциальности и у Пользователя могут запрашиваться иные персональные данные.

1.9. Киберпротект имеет право:

  • получать от Пользователя достоверные информацию и/или документы, содержащие персональные данные;
  • требовать от Пользователя своевременного уточнения предоставленных персональных данных.

1.10. Киберпротект обязано:

  • обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
  • рассматривать обращения Пользователя (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
  • предоставлять Пользователю (его законному представителю) возможность безвозмездного доступа к его персональным данным;
  • принимать меры по уточнению, уничтожению персональных данных Пользователя в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
  • организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

1.11. Пользователь имеет право:

  • на полную информацию о персональных данных, обрабатываемых Киберпротект, в том числе: – подтверждение факта обработки персональных данных Киберпротект, а также цель такой обработки;
    – правовые основания и цели обработки персональных данных;
    – применяемые способы обработки персональных данных;
    – сроки обработки персональных данных, в том числе сроки их хранения;
    – иные сведения, предусмотренные Федеральным законом или другими федеральными законами;
  • на доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом;
  • на уточнение персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • на отзыв согласия на обработку персональных данных;
  • на принятие предусмотренных законом мер по защите своих прав;
  • обжаловать неправомерные действия или бездействие по обработке персональных данных и требовать соответствующей компенсации в суде;
  • обжаловать в уполномоченном органе по защите прав субъектов персональных данных, если считает, что Киберпротект осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы;
  • на осуществление иных прав, предусмотренных законодательством РФ.

1.12. Пользователь обязан:

  • предоставлять Киберпротект только достоверные данные о себе;
  • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
  • сообщать Киберпротект об уточнении (обновлении, изменении) своих персональных данных.

1.13. Лица, передавшие Киберпротект недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

1.14. Настоящая Политика подлежит актуализации в случае изменения законодательства о персональных данных.

1.15. Киберпротект не вправе обрабатывать персональные данные Пользователя без достаточных на то правовых оснований. Поэтому Киберпротект обрабатывает персональные данные только в том случае, если:

  • обработка необходима для выполнения договорных обязательств Киберпротект перед Пользователем, включая обеспечение работы Сайтов и оказание услуг (например, предоставление Пользователю результатов поиска по поисковым запросам Пользователя);
  • обработка необходима для соблюдения установленных законодательством обязательств;
  • когда это предусмотрено применимым законодательством, обработка необходима для обеспечения законных интересов Киберпротект в случае, если такая обработка не оказывает существенного влияния на интересы Пользователя, его фундаментальные права и свободы.

1.16. Обработка персональных данных в Киберпротект осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», а также иными законами и подзаконными нормативно-правовыми актами, включая нормативные документы уполномоченных органов государственной власти.

1.17. Пользуясь интернет-сервисами, услугами, осуществляя покупки программного обеспечения, участвуя в рекламных и маркетинговых кампаниях или акциях и/или осуществляя иное взаимодействие с Киберпротект и предоставляя Киберпротект персональные данные, а также иную информацию, необходимую для инициирования такого взаимодействия, Пользователь выражает свое согласие на использование такой информации в соответствии с настоящей Политикой.

1.18. При этом Киберпротект исходит из того, что Пользователь:

а) сознательно использует Сайты от своего имени и достоверно указывает информацию о себе в объеме и в случаях, когда это требуется при регистрации, доступе и использовании Сайтов;

б) сознательно определил и контролирует настройки используемого им программного обеспечения в соответствии со своими предпочтениями относительно защиты информации, хранящейся на стороне браузера, персональных данных, информации о собственном аппаратно-программном обеспечении и интернет-соединении;

в) ознакомился и имеет возможность в любой момент ознакомиться с настоящей Политикой путем перехода по гипертекстовой ссылке «Политика конфиденциальности и защиты персональных данных» с интернет-страницы, соответствующего из Сайтов.

1.19. Пользователь уведомлен и осознает, что в случае его несогласия с настоящей Политикой использование Сайтов должно быть прекращено.

Предоставляя Киберпротект любые свои персональные данные из перечня, указанного в настоящей Политике, Пользователь дает свое согласие на их обработку Киберпротект в целях, указанных в настоящей Политике.

Предоставляя данные третьих лиц, необходимые для использования Сайтов, Пользователь подтверждает получение им согласия этих лиц на обработку их персональных данных или наличие у Пользователя полномочий на выражение согласия от имени таких лиц.

Пользователь также дает свое согласие на передачу и обработку персональных данных Киберпротект иным лицам, в том числе, но не исключительно его аффилированным лицам, в том числе входящим в одну группу с Киберпротект, а также компаниям, с которыми сотрудничает Киберпротект, в частности, ООО «СофтЛайн Интернет Трейд», адрес места нахождения: 119270, Москва, Лужнецкая набережная, 2/4, стр. 3А, этаж 2 пом. 205, и его партнерам в целях приобретения Пользователями соответствующих Сервисов, а также иных целях и способами, указанными в настоящей Политике.

Киберпротект исходит из того, что регистрационные формы на Сайтах заполняет непосредственно сам Пользователь. Ответственность за правомерность предоставления и достоверность персональных данных Пользователя и иных лиц, данные которых сообщены, несет Пользователь. Поскольку Киберпротект не проводит установление личности Пользователя и не принимает на себя обязанности по такому установлению личности, Киберпротект не отвечает за то, что Пользователь действительно является тем лицом, от имени которого осуществлена регистрация на Сайтах, и не несет ответственности за возможный ущерб, причиненный другим Пользователям или иным лицам в случае, если Пользователь не является таким лицом.

Киберпротект не принимает на себя никаких обязательств по проверке достоверности персональных данных, указанных Пользователем, и не несет ответственности в случае, если Пользователь предоставит больший объем данных, чем это предусмотрено соответствующими регистрационными формами, размещенными на Сайтах.

Настоящее согласие предоставляется на срок, установленный действующим законодательством.

Пользователь осведомлен, что может отозвать согласие на обработку персональных данных в соответствии с положениями настоящей Политики.

2.Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

2.1. В рамках настоящей Политики Киберпротект может обрабатывать персональные данные следующей категории субъектов персональных данных: Пользователи Сайтов. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в Киберпротект.

2.2. Пользователи Сайтов могут предоставлять Киберпротект свои персональные данные как через Сайт, так и иным способом, предусмотренным действующим законодательством.

2.3. Персональные данные, которые могут предоставляться Пользователем Сайтов:

  • информация о компьютере Пользователя, посещениях Сайтов и его использовании (включая IP-адрес компьютера, географическое местоположение, тип и версию браузера, операционную систему, источник информации, длительность посещения, просмотры страниц и переходы по Сайтам);
  • уникальные идентификаторы (файлы cookie, размещенные на компьютере Пользователя, идентификаторы устройств и т. п.). Более подробно см. в п. 2.4. Политики;
  • информация, которую Пользователь предоставляет Киберпротект для подписки на свои уведомления и новостные рассылки по электронной почте (включая имя Пользователя и адрес электронной почты);
  • информация, которую Пользователь предоставляет Киберпротект при использовании услуг, а также информация, которая создается во время использования этих услуг (включая время, частоту и характер использования услуг);
  • информация, содержащаяся в любых сообщениях (или связанная с ними), которые Пользователь отправляет Киберпротект, либо передает через Сайты (включая переписку с нами, содержание сообщений и связанные с ними метаданные);
  • информация, которую Пользователь предоставляет для участия в мероприятиях, конференциях, вебинарах или веб-конференциях Киберпротект, в том числе фото и видео с этих мероприятий с изображением Пользователя;
  • публикации, блоги, интервью, мнения, посты, комментарии, фотографии, видео Пользователя и т. д.;
  • информация, которую предоставляет Пользователь при отправке резюме в Киберпротект (включая контактные данные);
  • любые другие персональные данные, которые Пользователь предоставляет Киберпротект по своему желанию.

2.4. Файлы Cookie. Сайты: https://cyberprotect.ru/, partners.cyberprotect.ru, test.cyberprotect.ru, download.cyberprotect.ru используют файлы cookie — небольшие файлы данных, которые сохраняются браузером Пользователя на жестком диске. Такие файлы cookie, которые могут предлагаться третьими лицами, также позволяют Киберпротект отслеживать особенности поведения Пользователей Сайтов для его оптимизации и персонализировать внешний вид и наполнение Сайтов с учетом предпочтений Пользователя. Файлы cookie сами по себе не позволяют идентифицировать личность Пользователя, но действительно идентифицируют его компьютер. Большинство браузеров по умолчанию принимают файлы cookie, но если Пользователь предпочитаете не принимать их, то может просто изменить настройки браузера. Если Пользователь откажется принимать файлы cookie, вероятно, Сайты будут полезны Пользователю не в полном объеме.

2.5. Киберпротект может получать персональную информацию о Пользователе от третьих лиц. Это происходит, если Пользователь публикует свое резюме на сайтах по трудоустройству, если кто-либо рекомендует Пользователя в качестве потенциального соискателя.

2.6. Киберпротект может получать персональную информацию о Пользователе также в иных случаях, когда получение персональных данных возможно в соответствии с действующим законодательством.

2.7. Персональные данные, направленные Пользователем через Сайты, и персональные данные, собранные Киберпротект у Пользователя или третьих лиц, или из открытых источников, будут использоваться в соответствии с целями, указанными в данной Политике, в том числе:

2.7.1.Участие в транзакциях. Киберпротект может использовать персональные данные Пользователей вместе с финансовой информацией, сведениями о платежах для осуществления и обработки соответствующих транзакций, в том числе с участием лиц, которые могут осуществлять обработку персональных данных Пользователей по поручению Киберпротект, включая транзакции по приобретению Пользователем соответствующих Сервисов с использованием сайта www.allsoft.ru.

2.7.2. Оказание поддержки и услуг. Киберпротект может использовать персональные данные Пользователей для оказания поддержки и услуг, заказанных Пользователем, а также для обновлений, исправлений и доработок продуктов и других схожих способов оперативного взаимодействия.

2.7.3. Предоставление маркетинговых материалов. Киберпротект может с помощью файлов cookie и веб-маяков обрабатывать адрес Интернет-протокола, географическое место нахождения, тип и версию браузера, операционную систему, источник информации, продолжительность посещения, просмотры страниц и пути навигации на Сайтах, взаимодействия с Сайтами, автоматически собранные о Пользователе или об устройстве Пользователя в соответствии с данной Политикой, информацию, предоставленную Пользователем через формы Сайтов, приобретенные услуги (стоимость, дата, тип, платежная информация), публично доступную профессиональную информацию о Пользователе, источники данных, записи и замечания для проведения маркетинговых исследований, для анализа характеристик посетителей данного Сайтов, для оценки воздействия маркетинговых коммуникаций, для его корректировки к выявленным тенденциям, для планирования будущей маркетинговой деятельности Киберпротект, для подготовки аналитической информации, для персонализации обслуживания и обмена информацией с Пользователем, для определения целей рекламы Киберпротект, предоставления прямого маркетинга рекламы или аналогичных или связанных продуктов и услуг, включая также обмен информацией и маркетинг внутри Киберпротект. Киберпротект может использовать персональные данные Пользователей для отправки информационных сообщений, в том числе рекламных, при наличии соответствующего согласия на адрес электронной почты либо мобильный телефон Пользователя. С согласия Пользователя Киберпротект также может передавать его контактную информацию дистрибьютору или реселлеру Киберпротект для последующих действий, связанных с потребностями и в интересах Пользователя. Кроме того, при наличии согласия Пользователя, Киберпротект может передавать его персональные данные партнерам, которые предлагают дополнительные продукты и услуги. Пользователь может отказаться от получения рекламных и прочих маркетинговых материалов в любое время.

2.7.4. Ответы на запросы. Киберпротект может использовать персональные данные Пользователей при отправке ответов на запросы Пользователя.

2.7.5. Администрирование скачивания продуктов и контроль за соблюдением лицензионных требований. Если Пользователь скачивает продукты на Сайтах, Киберпротект использует персональные данные в следующих целях: чтобы подтвердить сведения о заказе Пользователя (например, чтобы не возникло проблем при скачивании) или чтобы обсудить продукты, которые Пользователь скачал. Киберпротект может также использовать персональные данные Пользователей для связи с ним, проверки соблюдения условий лицензирования и иных условий использования.

2.7.6. Повышение качества и усовершенствование работы с Сайтами. Киберпротект может использовать персональные данные Пользователя, чтобы усовершенствовать процесс пользования Сайтами (например, усовершенствовать навигацию и процесс входа, предотвратить повторный ввод данных, повысить уровень безопасности, отслеживать добавление товаров в корзину и сохранять информацию о заказе).

2.7.7 Информационная и физическая безопасность. Киберпротект может обрабатывать загруженные Пользователем на Сайты персональные данные, данные, автоматически собранные о Пользователе или устройстве Пользователя в соответствии с данной Политикой, например, в форме файлов cookie, веб-маячков, для обеспечения безопасности данного Сайтов, недопущения мошенничества, защиты прав и интересов Киберпротект и третьих лиц, защиты прав интеллектуальной собственности. Данная информация может раскрываться с целью расследования или судебного преследования.

Если Пользователь посещает офис Киберпротект, то возможна обработка информации Киберпротект о Ф.И.О., идентификационном номере, времени входа и выхода, времени, потраченном в офисе, записях камер видеонаблюдения для контроля доступа и для обеспечения безопасности в офисе, для недопущения, обнаружения и расследования любого преступления, неправомерного поведения, инцидента или происшествия. Данная информация может раскрываться третьим лицам с целью расследования, судебного преследования или для целей расследования страхового случая.

2.7.8. Бизнес-отношения. Если Пользователь является представителем существующего или потенциального клиента, продавца, коммерческого партнера или инвестора, Киберпротект может обрабатывать информацию о Ф.И.О., контактную информацию, информацию о текущей и предыдущих должностях, текущих и предыдущих компаниях, которые Пользователь представляет, деятельности по продажам, данные о совместных коммуникациях, содержании и результатах таких коммуникаций, данные о должности Пользователя и публично доступную профессиональную информацию о Пользователе для развития и(или) поддержания коммерческих отношений и обмена информацией с Киберпротект, для начала новых отношений с представляемой компанией, для предоставления Пользователю информации о статусе, деталях и прочей информации о работах и услугах, для организации одобрения, согласования и подписания договоров, актов, счетов и другой договорной документации, для продвижения наших новых продуктов, работ и услуг, для подтверждения высокого качества работ и услуг Киберпротект, для приглашения Пользователя на встречи, соблюдения требований в отношении экономических санкций и списка экспортного контроля, отраслевых списков отслеживания, отраслевых стандартов, требований регулирующих органов и других требований в связи с противодействием коррупции, защитой от мошенничества, противодействия легализации доходов, полученных преступным путем.

2.7.9. В иных законных целях, в том числе:

  • выполнение соглашений с Пользователем и обработка запросов и заявок Пользователей;
  • создание новых продуктов Киберпротект;
  • защита прав Киберпротект;
  • сбор, обработка и представление статистических данных, больших данных и других исследований.
3.Порядок и условия обработки персональных данных

3.1. Обработка персональных данных Пользователей может осуществляться Киберпротект следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

3.1.1. В большинстве случаев персональные данные обрабатываются автоматически без доступа к ним кого-либо из сотрудников Киберпротект. В случае если такой доступ понадобится, то он может быть предоставлен только тем сотрудникам, которым он необходим для выполнения своих задач. Для защиты и обеспечения конфиденциальности данных все сотрудники должны соблюдать внутренние правила и процедуры в отношении обработки конфиденциальной информации. Они также должны следовать всем техническим и организационным мерам безопасности, действующим для защиты персональных данных Пользователя.

3.2. Перечень действий, совершаемых Киберпротект с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством.

3.3. Пользователь принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе. При необходимости согласие предоставляется в электронной форме, но не исключено предоставление также в любой другой позволяющей подтвердить факт его получения форме.

3.4. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

3.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

3.6. Киберпротект при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.7. Хранение персональных данных осуществляется в форме, позволяющей определить Пользователя, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Пользователь.

3.8. При осуществлении хранения персональных данных Киберпротект использует базы данных, находящиеся на территории РФ.

3.9. Принципы обработки персональных данных:

  • обработка персональных данных должна осуществляться на законной и справедливой основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом либо договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь

3.10. Киберпротект хранит персональные данные Пользователя на собственных серверах, а также может использовать для хранения арендованные сервера третьих лиц, обеспечивая требуемые по законодательству меры защиты для передачи персональных данных на такие сервера.

3.11. Персональные данные, которые Киберпротект обрабатывает на основании согласия Пользователя, будут храниться в течение неограниченного периода времени (или до момента отзыва согласия), если иное не предусмотрено требованиями действующего законодательства и в соответствии с целью такой обработки данных.

3.12. В случае непредоставления согласия на обработку данных или в случае отзыва согласия, Киберпротект будет хранить документы (включая их электронные копии), содержащие персональные данные в той мере, насколько предписывает законодательство (к примеру, записи о трудоустройстве).

3.13. В отношении персональных данных Пользователя сохраняется конфиденциальность, кроме случаев обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен Пользователем, либо по его просьбе.

3.14. Для достижения целей, указанных в разделе 2 настоящей Политики, Киберпротект может передавать персональные данные также третьим лицам, не входящим в Группу Киберпротект.

К таким третьим лицам могут относиться:

  • партнеры, такие как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляющие Киберпротект услуги, связанные с размещением и отображением рекламы на Сайтах, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими;
  • рекламодатели или другие партнеры, которые отображают рекламу на Сайтах и/или на Сервисах Киберпротект, а также такие партнеры как поставщики информационных сервисов или консультанты.

Кроме того, Киберпротект вправе также передавать персональные данные следующим лицам, не входящим в Группу Киберпротект:

  • любому регулирующему органу, правоохранительным органам, исполнительным органам власти, другим официальным или государственным органам или судам, в отношении которых Киберпротект несет обязанность предоставлять информацию в соответствии с применимым законодательством по соответствующему запросу;
  • третьим лицам, в случае если Пользователь выразил согласие на передачу своих персональных данных либо передача персональных данных требуется для предоставления Пользователям соответствующего Сервиса или выполнения определенного соглашения или договора, заключенного с Пользователем;
  • любому третьему лицу в целях обеспечения правовой защиты Киберпротект или третьих лиц при нарушении Пользователем настоящей Политики или условий, регулирующих использование отдельных Сервисов, либо в ситуации, когда существует угроза такого нарушения, если иное не предусмотрено действующим законодательством.
4.Режим конфиденциальности персональных данных

4.1. Киберпротект обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

4.2. Киберпротект не раскрывает третьим лицам и не распространяет персональные данные без согласия на это Пользователя, если иное не предусмотрено Федеральным законом. Персональные данные Пользователей Сайтов являются конфиденциальной информацией.

4.3. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования законодательства в части обеспечения конфиденциальности и безопасности персональных данных.

5. Безопасность Сайтов

5.1. Киберпротект при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Со стороны Киберпротект были предприняты серьезные шаги для защиты и охраны собираемой в сети информации, включая использование проверенных и эффективных технологий шифрования SSL. Осуществляемые меры безопасности реализованы с учетом современного уровня техники, стоимости их реализации, рисков, связанных с обработкой и характером конфиденциальной информации. Киберпротект принимает строгие меры для защиты персональных данных и иной информации, а также для ее использования по назначению.

5.2. Киберпротект постоянно обновляет и тестирует технологии обеспечения безопасности. Киберпротект предоставляет доступ к персональным данным только тем сотрудникам, которые должны их знать для оказания услуг поддержки. Кроме того, Киберпротект инструктирует сотрудников о важности обеспечения конфиденциальности, сохранения неприкосновенности и защиты информации.

5.3. При утечке любых персональных данных Киберпротект сделает все возможное, чтобы устранить ее и оценить связанный с ней уровень риска. Если окажется, что утечка может привести к физическому, материальному либо нематериальному ущербу для Пользователя (например, дискриминация, разглашение персональных данных, мошенничество или финансовые потери), Киберпротект безотлагательно свяжется с Пользователем, если только иное не предусмотрено законом. В случаях, прямо предусмотренных законодательством, Киберпротект будет принимать требующиеся меры в тесном сотрудничестве с компетентным надзорным органом.

5.4. Никакая передача данных через интернет не может быть полностью защищенной. В то же время Киберпротект использует на Сайтах передовые меры безопасности для защиты самого Сайтов, e-mail, списков рассылки. Данные меры включают в себя: технические, методические, контрольные составляющие, направленные на защиту данных от ненадлежащего использования, несанкционированного доступа, раскрытия, потери, изменения или уничтожения.

5.5. Пользователь понимает, что практически каждый веб-сайт сталкивается со случаями злоупотреблений или несанкционированными программными вторжениями. И поэтому целями Киберпротект являются: незамедлительное разрешение возникших проблем, обеспечение или восстановление надлежащей функциональности и сведение к минимуму любых неудобств для Пользователей. В случаях, прямо установленных действующим законодательством, Киберпротект уведомит об инцидентах ненадлежащего использования данных, несанкционированном доступе на Сайты соответствующие государственные органы.

6.Актуализация, исправление, удаление персональных данных, ответы на запросы субъектов о доступе к персональным данным

6.1. По письменному запросу Пользователя Киберпротект обязано сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать данные документа, удостоверяющего личность Пользователя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Пользователя в отношениях с Киберпротект либо сведения, иным образом подтверждающие факт обработки персональных данных Киберпротект, подпись Пользователя. Запрос может быть направлен в форме электронного документа по адресу info@cyberprotect.ru и подписан электронной подписью в соответствии с законодательством РФ.

6.2. В порядке, предусмотренном п. 6.1. Политики, Пользователь вправе требовать от Киберпротект уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Пользователь вправе также в любой момент также отозвать свое согласие на обработку персональных данных в порядке, установленном пунктом 6.1. настоящей Политики. Согласие может быть также отозвано путем письменного уведомления, направленного в адрес Киберпротект заказным почтовым отправлением.

6.3. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных своего согласия, персональные данные подлежат уничтожению, если:

  • Киберпротект не вправе осуществлять обработку без согласия Пользователя;
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Пользователь;
  • иное не предусмотрено иным соглашением между Киберпротект и Пользователем.

6.4. Все предложения или вопросы по поводу настоящего Политики следует сообщать Киберпротект через форму обращения по ссылке: https://cyberprotect.ru/contacts .

6.5. Если Пользователь не желает получать какую-либо информацию от Киберпротект, он может написать электронное письмо на адрес website_feedback@cyberprotect.ru с темой письма «Киберпротект: Не отправлять никаких сообщений».

6.6. В случае изменения действующего законодательства РФ и/или внесения изменений в нормативные документы по защите персональных данных Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с таковыми.

6.7. Условия настоящей Политики устанавливаются, изменяются и отменяются Киберпротект в одностороннем порядке без предварительного уведомления Пользователя, изменения вступают в силу с момента их опубликования. Используя Сайты Киберпротект, Пользователь тем самым подтверждает свое согласие с текущими условиями Политики.

Какие персональные данные не требуют обеспечения конфиденциальности?

В детстве нас учили не говорить незнакомым людям, как нас зовут и где мы живем. А сейчас мы не задумываясь регистрируемся на непонятных сайтах и пишем данные паспорта в странных бланках. Чтобы вашими персональными данными не завладели те самые незнакомые люди, нужно внимательно отнестись к оператору, которому вы их передаете.

Что такое персональные данные

  • В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.
  • Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор — тот, кто организует и обрабатывает персональные данные.
  • Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
  • Важно еще понять, что относится к самим персональным данным. В законе нет прямой формулировки, но к ним относят:
  • ФИО (в любых комбинациях);
  • дату рождения;
  • адрес;
  • телефон;
  • e-mail;
  • фотографии;
  • ссылку на персональный сайт;
  • ссылку на профиль в социальных сетях.

Другими словами, персданные — это та информация, по которой можно идентифицировать человека.

Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Что должен сделать оператор персональных данных

Все просто — нужно зарегистрироваться в Роскомнадзоре. Для этого необходимо подать уведомление об обработке персональных данных.

Оператор заполняет электронную форму на Портале персональных данных Роскомнадзора. После того, как уведомление отправлено в систему, нужно распечатать его бумажную копию. Она заверяется подписью и печатью организации, после чего отправляется в территориальный орган Роскомнадзора по месту регистрации компании-оператора.

К операторам относятся физлица, ИП, юрлица, муниципальные органы, государственные органы. Эти категории влияют на размер штрафов.

Читайте также: Акт обследования жилищно-бытовых условий (образец, бланк): заполнение

Когда уведомление Роскомнадзора не требуется

Список ситуаций, когда не нужно отправлять уведомление, прописан в ст. 22 152-ФЗ. Оператор не должен регистрироваться, если персональные данные:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • используются оператором исключительно для исполнения договора;
  • являются общедоступными данными;
  • включают только ФИО субъектов;
  • нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  • включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.

Когда не нужна конфиденциальность персональных данных

В той же статье закона прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:

  • если данные обезличены — по ним невозможно определить принадлежность информации к конкретному лицу;
  • если данные общедоступны;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • если нужно оформить пропуск на территорию, на которой находится оператор;
  • если данные получены оператором в связи с заключением договора;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Для всех остальных случаев нужно составить политику конфиденциальности.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют.

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

Какие персональные данные не требуют обеспечения конфиденциальности?

Если вам нужен бланк, то скачайте его и измените под ваши нужды.

Когда не нужно согласие

Есть случаи, когда согласие субъекта персональных данных не требуется. Такое возможно, когда обработка персональных данных:

  • необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  • осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.

Что будет, если нарушать

Штраф. С 1 июля 2017 года действуют поправки в ст. 13.11 КоАП.

Какие персональные данные не требуют обеспечения конфиденциальности?

Помимо штрафов, оператор будет внесен в «Реестр нарушителей прав субъектов персональных данных». А еще придется подготовиться к проверке.

Отнеситесь к персональным данным с ответственностью, чтобы не стать жертвой мошенников.

Про защиту персональных данных

Всегда ли мы в курсе, кому и с какой целью передаем персональные данные, почему эти сведения становятся «лакомым кусочком» в современном обществе и как защитить свою конфиденциальность?

По информации BBC, в конце июля федеральный Конституционный суд Германии пересмотрел закон «О персональных данных». Если раньше полиция, расследуя преступления, имела доступ к ФИО, дате рождения и даже IP-адресам, то теперь правительство подтвердило, что личное пространство жителей Германии нуждается в защите.

Что такое персональные данные?

Персональными данными является любая информация, по которой можно определить личность человека:

  • ФИО, дата рождения, адрес;
  • контактный телефон, паспортные данные, идентификационный код;
  • место работы;
  • информация о родственниках;
  • девичья фамилия матери;
  • история болезни;
  • онлайн-идентификация – IP-адрес;
  • сведения об активности в социальных сетях и так далее.

С наступлением эры интернета для кибермошенников начали представлять интерес персональные данные. Например, большинство людей в качестве пароля от аккаунта используют год рождения либо девичью фамилию матери.

Следовательно, узнав эти сведения, хакеры легко получают доступ к электронным ящикам, дальше проникают в онлайн-банкинг и снимают деньги со счетов.

Поэтому защита персональных данных в интернете на данный момент является одной из важнейших тем кибербезопасности.

Ситуация в этой сфере действительно критическая. Чтобы в этом убедиться, взгляните на статистику.

— Исследование Pew Research Center показывает, что 79 % американских респондентов знают о том, что крупные компании собирают персональные данные в интернете, используют их для составления портрета потребителя и рассылки таргетированной рекламы. При этом опрошенные крайне обеспокоены тем, что они не способны контролировать, как происходит обработка персональных данных в интернете.

— В отчете Cisco Consumer Privacy Survey утверждается, что 45 % респондентов обвиняют государство в том, что оно оперирует персональными данными в своих целях.

— ООН выражает недовольство тем фактом, что 18 % развитых стран не имеет законодательства, которое могло бы регулировать защиту персональных данных.

Требования к защите персональных данных: почему они игнорируются?

  • Сбор персональных данных в интернете выгоден нескольким сторонам:
  • — государство фиксирует сведения, которые в дальнейшем помогут раскрыть преступления;
  • — компании выкупают персональные данные, к которым мы добровольно открываем доступ мобильным приложениям, и предлагают нам таргетированную рекламу;
  • — хакеры устраивают DDoS-атаки (доведение системы до отказа), чтобы вывести из строя компьютеры;
  • — кибермошенники «проворачивают» финансовые махинации, получив доступ к электронной почте или другим аккаунтам.

Чтобы продемонстрировать заинтересованность государства в вопросе сбора персональных данных, приведу пример, который случился не так давно в Австралии. В связи со вспышкой COVID-19 правительство обязало всех жителей загрузить на смартфон приложение COVIDSafe, которое мониторило состояние человека. При повышении температуры и других показателей приложение, работающее через Bluetooth, передавало IP-адрес в полицию и госпиталь. Потенциально заболевший должен был сдать тест и, в случае позитивного результата, явиться в больницу. Кроме того, приложение фиксировало IP-адреса всех людей, с которыми больной контактировал в течение 15 минут, и они тоже попадали в группу риска. Несмотря на то, что запуск такого приложения был вынужденной мерой, многие австралийцы возмущались против вторжения в их личное пространство, сообщает Guardian. Теперь на официальном сайте австралийского правительства сказано, что использование COVIDSafe осуществляется на добровольной основе.

Еще один пример, как цифровые персональные данные способны «рассекретить» любую личность, связан с использованием дронов.

Intelligencer заявляет, что в январе нынешнего года в Китае официально запустили дроны, которые летали над городами и фиксировали IP-адреса тех людей, которые пренебрегали необходимостью носить маски.

Как утверждает Reuters, в июне этот опыт повторили в Калифорнии, причем в этом случае дополнительно отслеживали, соблюдают ли люди дистанцию.

Конечно, такое вмешательство в личное пространство оправдано, но в то же время не каждый хочет, чтобы любое действие отслеживалось. Чтобы никому не сообщать свой IP-адрес, можно его «сменить», воспользовавшись VPN, и тогда будет невозможно определить личность конкретного человека.

Что касается таргетированной рекламы, мы сами отчасти повинны в утечках персональных данных. Когда мы загружаем на смартфон приложения, нам предлагается поставить галочку в поле «Согласен на передачу персональных данных третьим лицам».

Дальше приложение просит доступ к контактам, фото, видео, геолокации. Допустим, в случае с такси Uber доступ к локации все-таки придется дать, но вряд ли стоит открывать этому приложению свои контакты.

А, например, фоторедактору придется открыть доступ к мультимедиа, но лучше проигнорировать просьбу мониторинга геолокации.

Защита персональных данных клиентов организации | Как защитить персональные данные клиента и что будет за их разглашение

Большинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные.

Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах.

Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации.

Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов.

Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные.

Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

  • общие положения. Здесь необходимо описать принципы работы с персональными данными, общие цели их использования, сведения о том, что после истечения определенного времени данные, потерявшие актуальность, должны быть уничтожены, порядок утверждения самого документа и внесения в него изменений;
  • определения. Здесь поясняется, что понимается под персональными данными клиентов применительно к уставным целям и задачам конкретной компании, поясняются другие термины, например, «клиент», «оператор». Требуемые от клиента персональные данные описываются максимально подробно, с пояснениями, от какой категории лиц какие именно сведения должны быть предоставлены. Здесь же описываются допустимые способы получения персональных данных;
  • требования к конфиденциальности. В положении указывается, что на персональные данные распространяется режим конфиденциальности, что оператор обязывает своих сотрудников соблюдать его требования. Кроме того, отмечается, что при передаче сведений третьим лицам для обработки на основании соглашения оператор включает в его обязательства соблюдение конфиденциальности и ответственность за нарушение этих требований;
  • права и обязанности клиента. В этом разделе необходимо быть осторожнее. Так, возложение на клиента обязанности уведомлять организацию об изменении персональных данных должно быть объяснено или нормами закона, или интересами самого клиента;
  • обязанности самого общества, возникающие при обработке персональных данных. Здесь можно не ограничиваться требованиями закона, инициативные решения повысят привлекательность предложения организации для клиента;
  • способы защиты персональных данных;
  • заключительные положения.

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания.

Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной.

Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно.

Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества.

Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические.

Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные.

Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств.

Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены.

При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле.

После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой.

Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Практика. Создание системы защиты персональных данных

Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

Кто обеспечивает защиту данных?

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № 152-ФЗ от 27.07.

2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор.

В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф.

С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

  • паспортные данные;
  • точное место жительства;
  • мобильный телефон;
  • адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

  • если им получено согласие на обработку (необязательно письменное);
  • планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
  • обрабатываются персональные данные своих сотрудников;
  • в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

  • Политика в отношении персональных данных задокументирована и находится в публичном доступе.
  • Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
  • Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
  • Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

  • программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
  • некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
  • усложнены условия эксплуатации и хранения информации.

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

  • Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.
    • неисправность технических средств,
    • слабые антивирусы, отсутствие шлюзов безопасности,
    • невозможность зрительного контроля за серверами и доступом к ним.

    Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

    • Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
    • Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

    Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

    • Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
    • Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.
    • Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

    Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

    Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

    • угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
    • угроза, инициируемая субъектами извне с целью получения личной выгоды.
    • искусственная угроза, созданная при участии человека;
    • природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

    Непосредственная причина угрозы:

    • человек, разглашающий строго конфиденциальные сведения;
    • природный фактор (вне зависимости от масштаба);
    • специализированное вредоносное программное обеспечение, нарушающее работу системы;
    • удаление данных случайным путем из-за отказа техники.

    Момент воздействия угрозы на информационные ресурсы:

    • в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
    • при получении системой новой информации;
    • независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

    Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

    Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

    Построение системы защиты персональных данных

    Классификация уровней защиты

    Информационная безопасность подразумевает четыре уровня защиты от угроз:

    • Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
    • Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
    • Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
    • Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

    Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

    Обеспечение защиты

    Защита информации по уровням в каждом случае состоит из цепочки мер.

    • Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.
    • Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
    • Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
    • Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

    Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

    Средства защиты информации

    Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

    Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты.

    Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации).

    Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

    Криптографические средства защиты информации

    Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

    К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

    Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

    Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.

    Рекомендации по защите персональных данных

    Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.

    Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.

    Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.

    Федеральный закон о персональных данных

    1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

    2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

    1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

    2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

    3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

    4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

    Статья 2. Цель настоящего Федерального закона

    Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    Статья 3. Основные понятия, используемые в настоящем Федеральном законе

    В целях настоящего Федерального закона используются следующие основные понятия:

    1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

    2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

    3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

    4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

    5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

    6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

    7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

    8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

    9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

    10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

    11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

    12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

    Статья 4. Законодательство Российской Федерации в области персональных данных

    1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

    2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

    Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

    3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

    4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

    Глава 2. Принципы и условия обработки персональных данных

    Статья 5. Принципы обработки персональных данных

    1. Обработка персональных данных должна осуществляться на основе принципов:

    1) законности целей и способов обработки персональных данных и добросовестности;

    2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

    3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

    4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

    5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

    2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

    Статья 6. Условия обработки персональных данных

    1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

    1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

    2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

    3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

    4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

    5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

    6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

    7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

    3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

    4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

    Статья 7. Конфиденциальность персональных данных

    1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Обеспечение конфиденциальности персональных данных не требуется:

    1) в случае обезличивания персональных данных;

    2) в отношении общедоступных персональных данных.

    Статья 8. Общедоступные источники персональных данных

    1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

    2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

    Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

    1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

    2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

    3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

    4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

    1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

    2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

    3) цель обработки персональных данных;

    4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

    5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

    6) срок, в течение которого действует согласие, а также порядок его отзыва.

    5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

    6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

    7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

    Статья 10. Специальные категории персональных данных

    1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

    1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

    2) персональные данные являются общедоступными;

    3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

    4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

    5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

    6) обработка персональных данных необходима в связи с осуществлением правосудия;

    7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

    3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

    4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

    Статья 11. Биометрические персональные данные

    1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

    Статья 12. Трансграничная передача персональных данных

    1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

    2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

    3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

    1) наличия согласия в письменной форме субъекта персональных данных;

    2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

    3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

    4) исполнения договора, стороной которого является субъект персональных данных;

    5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

    Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

    1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

    2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

    3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

    4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

    Глава 3. Права субъекта персональных данных

    Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

    1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

    2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

    3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

    4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

    1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

    2) способы обработки персональных данных, применяемые оператором;

    3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

    4) перечень обрабатываемых персональных данных и источник их получения;

    5) сроки обработки персональных данных, в том числе сроки их хранения;

    6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

    5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

    1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

    2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

    3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

    Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

    1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

    2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

    Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

    1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

    3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

    4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

    Статья 17. Право на обжалование действий или бездействия оператора

    1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    Глава 4. Обязанности оператора

    Статья 18. Обязанности оператора при сборе персональных данных

    1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

    2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

    3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

    1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

    2) цель обработки персональных данных и ее правовое основание;

    3) предполагаемые пользователи персональных данных;

    4) установленные настоящим Федеральным законом права субъекта персональных данных.

    Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

    1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

    2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

    3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

    4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

    Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

    1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

    2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

    3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

    4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

    Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

    1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

    2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

    3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

    4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

    5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

    Статья 22. Уведомление об обработке персональных данных

    1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

    2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

    1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

    4) являющихся общедоступными персональными данными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

    3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

    1) наименование (фамилия, имя, отчество), адрес оператора;

    2) цель обработки персональных данных;

    3) категории персональных данных;

    4) категории субъектов, персональные данные которых обрабатываются;

    5) правовое основание обработки персональных данных;

    6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

    7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

    8) дата начала обработки персональных данных;

    9) срок или условие прекращения обработки персональных данных.

    4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

    5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

    6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

    7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

    Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

    Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

    1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

    2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

    3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

    1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

    2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

    3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

    4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

    5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

    6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

    7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

    8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

    9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

    4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

    5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

    1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

    2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

    3) вести реестр операторов;

    4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

    5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

    6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

    7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

    6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

    7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

    8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

    9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

    Статья 24. Ответственность за нарушение требований настоящего Федерального закона

    Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

    Глава 6. Заключительные положения

    Статья 25. Заключительные положения

    1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

    2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

    3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

    4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

    Президент
    Российской Федерации
    В. Путин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *