Главная » Работающим пенсионерам » Защита персональных данных в россии. Персональные данные работника: что к ним относится

Защита персональных данных в россии. Персональные данные работника: что к ним относится

Требования к защите персональных данных регулируются законами:

149 ("Об информации "),
249 ("О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля ").
Ст. 26 закона «О банках и банковской деятельности » - Согласно ст. 26 закона «О банках и банковской деятельности» к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. По российскому законодательству кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242 , которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке .

Исследования

2017: Клиентские базы страховых компаний доступны на теневом рынке

Согласно результатам исследования аналитического центра «МФИ Софт » за сентябрь 2017 года, уже 5,6 млн записей данных клиентов страховых компаний обнаружены на черном рынке, их можно приобрести на открытых пиратских форумах. Актуальность данных самая свежая - 2016-2017 годы. При этом две трети всех предложений касаются автострахования - вероятно, клиенты КАСКО/ОСАГО ценятся в первую очередь конкурирующими страховыми компаниями. Вместе с этим, предложения баз автостраховок обновляются быстрее всех - некоторые продавцы предлагают обновление на ежемесячной основе.

Стоимость баз данных

Базы страховых компаний - одни из самых дорогих и востребованных на рынке информации. На «черном рынке» представлены базы данных разных объемов - от нескольких сотен клиентов до десятков и сотен тысяч. Стоимость одного контакта в небольшой, но актуальной базе может достигать 10 рублей, в то время как в крупных базах она падает до 0,001 рублей. Купить такую базу может каждый по цене от 250 до 40 тыс. рублей. На стоимость влияют такие параметры как количество контактов, актуальность и полнота данных. Наиболее часто встречающийся ценник - 3500 руб, с размером базы до 60 тыс. записей, указали в «МФИ Софт».

Географический охват

Чуть менее половины предложений о продаже составляют базы страховых компаний Московской области (41% от исследованных предложений). Базы Ленинградской области - на втором месте (21%). Порядка 26% баз охватывают всю Россию . Предложения баз данных, охватывающих только один нестоличный город или регион, встречаются в единичных случаях (12%). В 59% случаев базы содержат полные данные о клиентах, включающие не только персональную информацию, но и данные об автомобиле, историю страховых сделок, копии документов.

Риски для клиентов и компаний

По оценкам «МФИ Софт», риск для пользователя услуг страховой компании в случае утечки варьируется от получения спама до крупного мошенничества с собственностью, так как данные могут представлять интерес для криминальных структур. Для самих страховых компаний кроме прямой потери клиентов крупные утечки чреваты потерей репутации и санкциями со стороны регуляторов по факту нарушения закона 152-ФЗ «О персональных данных». Такие прецеденты в отрасли уже были зафиксированы в 2012 году.

Источники утечек

Как выяснили исследователи, информация о клиентах страховых компаний утекает не на этапе сбора, а из информационных систем. Состав базы данных часто указывает на источник утечки, в некоторых случаях может указывать даже на отдел внутри компании (при понимании, на каком бизнес-процессе запись обогащается теми или иными данным), однако установить владельца самой информационной системы достаточно затруднительно. Так как данные могут поступать как непосредственно от страховых компаний, так и из других информационных систем - ГИБДД , единая база РСА и т.д.

Основным поставщиками данных внутри компаний являются страховые агенты, также встречаются утечки, спровоцированные системными администраторами. Нередко встречается на торговых площадках предложение об аренде удалённого доступа в ИС страховых компаний (например, партнёрские порталы), через которые можно делать выгрузки по клиентам.

Высокий спрос на страховые базы данных на черном рынке формирует все новые и все более актуальные предложения со стороны инсайдеров, которые нередко работают на заказ.

Для сохранности данных и предотвращения утечек аналитики «МФИ Софт» рекомендуют страховым компаниям более тщательно контролировать легитимность доступа к своим базам данных внутри организации, обращать внимание на массовые выгрузки из систем хранения информации и на аномальные действия привилегированных пользователей, а также контролировать уязвимости используемых СУБД .

2016: Персональные данные миллионов россиян уже на "черном" рынке

По результатам исследования «Черный рынок баз данных » аналитического центра «МФИ Софт » за ноябрь 2016 года, объем рынка нелегальных баз данных в России - больше 30 млн рублей, если перевести на количество записей частных лиц – получается больше 1,2 млрд. Всего за несколько часов поиска в интернете можно найти базы данных клиентов крупных банков, страховых компаний и онлайн-казино.

Как оказалось, на пиратских форумах и порталах особенно распространены данные клиентов финансовых организаций – 34%, а также заказчиков крупных интернет-магазинов – 19%, брокеров -18% и операторов связи – 6%.

В рамках исследования были обнаружены базы клиентов 18 крупных российских банков - среди них есть представители ТОП-10 крупнейших российских банков, а также базы популярных микрофинансовых организаций. К таким базам высокий уровень интереса у различного рода мошенников, в том случае, если база обогащена информацией по счетам. Почти каждая десятая запись (8% обнаруженных данных) в украденной базе может с высокой вероятностью повлечь за собой тяжелые негативные последствия - например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковским мошенничеством или более тяжелым последствиям. Еще один вариант развития событий - оформление кредитов на паспортные данные пользователей банковских услуг и перепродажа базы коллекторам. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах.

Сколько стоят персональные данные на черном рынке?

В последние годы стоимость персональных данных сильно обесценилась. Как показало исследование 134 баз данных, находящихся в свободной продаже на черном рынке, средняя стоимость одного контакта для баз рассылок составляет 2 копейки. Наибольшей ценностью обладают базы страховых компаний – цена записи достигает 10 рублей при средней цене в 2,73 рубля, данные клиентов банков оцениваются в среднем по 0,28 рубля за запись. По сути, каждый пользователь интернета может купить такую базу, одни из праздного любопытства, другие - для наживы.

Что содержится в серых базах данных и чем это грозит?

Базы данных могут содержать не только имена и контакты пользователей услуг, но и все документы, от паспортных данных и водительского удостоверения до номеров банковских карт и счетов с указанием сумм депозитов. Есть даже базы по направлениям деятельности, например, базы руководителей служб безопасности, базы директоров по регионам и другие не менее интересные варианты.

В лучшем случае такие базы покупают для спам -рассылок и обзвона с предложениями услуг. Чуть менее часто базы данных на черном рынке скупают мошенники в целях совершения финансовых махинаций. По паспортным данным с помощью социальной инженерии можно получить доступ к карточным счетам пользователя и выводить с них средства, а также шантажировать владельцев этих данных или оформить на них кредит в микрофинансовой организации.

Источники утечки баз данных

В ответе за утечку данных пользователей – владельцы баз, так как это прямое нарушение ФЗ-152 «О персональных данных ». Но часто они сами даже не подозревают, что их базы были украдены, и узнают об этом только после громких инцидентов. Согласно выборке «МФИ Софт», базы данных попадают на черный рынок четырьмя путями: злонамеренный инсайд – 78%, взлом – 2%, недобросовестность (целенаправленное распространение данных клиентов на коммерческой основе) – 13%, парсинг (сбор и структурирование данных из открытых источников) – 7%. Из чего следует – что главная проблема российских компаний – это утечка баз данных через сотрудников.

phonenumber.to: 137,090,136 скомпрометированных учетных записей в базе

Как обеспечить безопасность?

Организациям, осуществляющим обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:

направление уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор ;
разработка формы и получение согласия каждого субъекта на обработку его персональных данных (согласие должно содержать собственноручную подпись субъекта (либо его цифровую подпись));
документально описание информационных систем обработки персональных данных (назначение, состав данных, правовые основания для их обработки), а также обозначение круга лиц, работающих с персональными данными и имеющими к ним доступ;
разработка ряда нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;
обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами;
прохождение необходимых проверок для подтверждения соответствия систем защиты персональных данных требованиям законодательства.

Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за вопросы защиты персональных данных, во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус, и, наконец, определить способы и сроки обработки данных, а также сроки хранения».

В первую очередь, самый действенный и не затратный подход к хранению персональных данных - это хранение их в обезличенной форме. Необходимо максимально обобщать, обезличивать информацию, отказываться от избыточной - таким образом можно просто не бояться умышленной или случайной утечки информации - она не будет представлять практически никакой ценности для злоумышленников. Кстати, законодательство Соединенных Штатов, рекомендует для обеспечения безопасности персональных данных именно такой подход. Конечно, это палка о двух концах. Такой подход, несомненно, снижает потребность в защите данных, однако значительно затрудняет возможность их обработки.

Операторы персональных данных сейчас в большинстве своем отказались от работ по обеспечению информационной безопасности. Закон будет меняться, в этом есть необходимость и об этом есть свидетельства, так что вкладывать средства в реализацию формальных требований безотносительно их важности довольно расточительно.

В неоднозначной ситуации находятся и компании, занимающиеся производством продуктов для защиты персональных данных. В поисках решений, которые позволят, с одной стороны, удовлетворить регуляторов, с другой - заказчиков, и, наконец, не остаться в проигрыше, они приходят к тому, что перестройка устоявшейся модели системы защиты персональных данных неизбежна.

При этом четко прослеживается разница между компаниями-лидерами в своей области и фирмами-подголосками. Последние, в большинстве своем, быстро переориентировались на соответствие требованиям закона. Спектр предлагаемых ими услуг расширился такими предложениями, как помощь в получении лицензии, проведение обследования и классификации информационной системы, консультационная поддержка. Нашлись умельцы и по способам обхождения закона - широко разошлась статья под названием "Пять сравнительно легальных способов сопротивления ФЗ-152".

Куда интереснее, что думают о нововведении представители серьезных компаний, занимающихся защитой информации. Многие вендоры начали активную доработку своих решений, задавшись вопросом о том, соответствуют ли они требованиям регуляторов. Другие же пока не спешат со столь кардинальными мерами, ожидая дальнейших изменений в законодательстве. Однако ключевым моментом по мнению многих компаний является формирование культуры защиты персональных данных. Так, например, Алексей Сабанов, заместитель генерального директора компании Aladdin считает, что №152-ФЗ прививает культуру информационной безопасности в обществе и на всех уровнях российского бизнеса. Александр Шарамок, представитель компании "Ортикон" придерживается мнения, что ситуация с защитой персональных данных улучшится, если будет создана прозрачная правовая и нормативно-техническая база и в обществе сформируется культура защиты персональных данных, первые шаги к чему он также видит в законе №152-ФЗ "О персональных данных".

Все же, кроме совершенствования технических мер безопасности, компаниям непременно нужно уделить внимание методологической составляющей. Уже сейчас многие компании предлагают своим клиентам построение модели угроз безопасности персональных данных. Кроме того, помощь в определении типа информационной системы, информационная поддержка по вопросам лицензирования и прохождения проверок, нахождение способов снижения класса обрабатываемых данных - все это уже потихоньку начинает занимать свою нишу на рынке услуг по защите информации и, в дальнейшем, будет только развиваться .

Обезличивание персональных данных

Требование законодательства по обезличиванию данных

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных .

Свойства обезличенных данных

полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
семантическая целостность (сохранение семантики персональных данных при их обезличивании);
применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

Типичные подходы к обезличиванию данных

Данные не обезличиваются (использование NDA с подрядчиками)

После обезличивания теряются особенности данных (чрезмерное маскирование данных)
После обезличивания теряется связанность данных
Нет единого инструмента для обезличивания данных
Обезличиваются только данные согласно документации приложения
Одинаковые политики по деперсонализации данных для различных задач
На деперсонализацию данных требуется значительное время
После изменения источников (например, после установки патчей) требуется значительное время на изменение процессов деперсонализации

Обезличивание наиболее критичных данных в режиме реального времени

Какие данные нужно маскировать в реальном времени ?

Применяйте надежную многофакторную аутентификацию

Кража персональных данных – одна из наиболее опасных и часто встречающихся угроз в области защиты информации. Она является причиной взлома в четырех из пяти случаев Verizon . Отчет об утечке данных 2013. Таким образом, для доступа в персональную систему не достаточно ввести имя пользователя и пароль. Для защиты персональных данных необходимо применять надежную аутентификацию . Например, одним из оптимальных решений будет двухфакторная аутентификация , в рамках которой необходимо дважды подтвердить свою личность: при помощи удостоверения – токена, смарт-карты, мобильного приложения, а также при помощи ввода секретного пароля. В будущем, возможно, будет введен дополнительный биометрический фактор, при котором для подтверждения личности сотрудника могут потребоваться отпечатки его пальцев.

Зашифруйте конфиденциальные электронные адреса и файлы

Электронная почта является наиболее важным инструментом коммуникации внутри любой организации, ей пользуются как руководители, так и другие сотрудники компаний. Чтобы защитить электронную почту, необходимо использовать специальную сертифицированную программу, которая позволяет шифровать отдельные файлы или сообщения таким образом, что только конкретный получатель, обладающий ключом, сможет получить доступ к зашифрованной информации. Также необходимо четко вести базу контактов, чтобы информация случайным образом не попала неверному адресату.

Установите правила соблюдения информационной безопасности для руководителей

Безусловно, все вышеперечисленные рекомендации будут работать при условии дополнительных вложений со стороны руководства компании. В этой ситуации необходимы посредники, которые смогут провести необходимый тренинг для руководителя и расскажут все основные правила обеспечения информационной безопасности. Данная практика поможет изменить поведение руководителя и мотивирует сотрудников брать пример с руководства.

Деятельность киберпреступников активизируется, и любая организация должна задуматься о защите корпоративных данных. Во многих компаниях обеспечение информационной безопасности – это обязательная мера, которую необходимо соблюдать по требованию регуляторов, но вопрос безопасности данных руководителей компаний по-прежнему остается отрытым и требует специального подхода, который обеспечит защиту информации и, в то же время, не затронет мобильный образ жизни руководителя.

Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" Петров Михаил Игоревич

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Статья 23.

Уполномоченный орган по защите прав субъектов персональных данных

Комментарий к статье 23

1. Комментируемая статья определяет основные направления государственного контроля и надзора за деятельностью операторов, осуществляющих обработку персональных данных, а равно полномочия, функции и компетенцию органов, его осуществляющих. Государственный контроль (надзор) определяется действующим законодательством не иначе как проведение проверки выполнения юридическим или физическим лицом при осуществлении их деятельности обязательных требований к товарам (работам, услугам), установленных федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами (п.1 ст.2 Федерального закона от 8 августа 2001г. N 134-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)").

Диспозиция настоящей статьи носит четко выраженный традиционный характер, где указывается, кто правомочен на реализацию контрольно-надзорных функций в обозначенной области деятельности, обозначаются основные полномочия последних и завершается декларируемым правом обжалования вынесенных в процессе их реализаций соответствующих решений по существу вопроса.

Целью реализации сформулированных настоящей статьей контрольных полномочий по надзору за деятельностью оператора выступает приоритет защиты прав субъектов персональных данных и необходимость соблюдения в указанных целях требований настоящего Закона.

Специфика настоящей статьи заключается в том, что положения последней отражают лишь одну из сторон государственного контроля за деятельностью оператора, осуществляемого исключительно в рамках рассматриваемого Федерального закона на предмет соблюдения его требований и четкого исполнения последними своих обязанностей, круг которых сформулирован нормами главы 4. В этой связи законодатель отмечает, что осуществление государственного контроля и надзора за деятельностью оператора возложено на специально уполномоченный орган государственной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В соответствии с Указом Президента РФ от 9 марта 2004г. N 314 образована Федеральная служба по надзору в сфере связи, с передачей ей функций по контролю в сфере связи упраздняемого Министерства РФ по связи и информатизации, а также функций по государственному надзору в этой сфере. Как следует из Постановления Правительства РФ от 30 июня 2004г. N 318 "Об утверждении Положения о Федеральной службе по надзору в сфере связи", Федеральная служба по надзору в сфере связи является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи.

2. Федеральная служба по надзору в сфере связи находится в ведении Министерства информационных технологий и связи РФ. Федеральная служба по надзору в сфере связи руководствуется в своей деятельности Конституцией РФ, федеральными конституционными законами, федеральными законами, актами Президента РФ и Правительства РФ, международными договорами РФ, нормативными правовыми актами Министерства информационных технологий и связи РФ. Федеральная служба по надзору в сфере связи осуществляет свою деятельность непосредственно и через свои территориальные органы во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления, общественными объединениями и иными организациями. Федеральную службу по надзору в сфере связи возглавляет руководитель, назначаемый на должность и освобождаемый от должности Правительством РФ по представлению министра информационных технологий и связи РФ.

Руководитель Федеральной службы по надзору в сфере связи несет персональную ответственность за осуществление возложенных на Федеральную службу по надзору в сфере связи полномочий. Руководитель Службы имеет заместителей, назначаемых на должность и освобождаемых от должности министром информационных технологий и связи РФ по представлению руководителя Службы. Количество заместителей руководителя Службы устанавливается Правительством РФ.

Финансирование расходов на содержание Федеральной службы по надзору в сфере связи и ее территориальных органов осуществляется за счет средств, предусмотренных в федеральном бюджете. Федеральная служба по надзору в сфере связи является юридическим лицом, имеет печать с изображением Государственного герба РФ и со своим наименованием, иные печати, штампы и бланки установленного образца, счета, открываемые в соответствии с законодательством РФ. Место нахождения Федеральной службы по надзору в сфере связи -г. Москва.

3. Условно представленные комментируемой статьей функции Федеральной службы по надзору в сфере связи в части, касающейся контроля за соответствием обработки персональных данных требованиям настоящего Закона, можно разделить по следующим направлениям:

1) организационно-распорядительные: ведение реестра операторов;

внесение в Правительство РФ предложений о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

организация в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиты прав субъектов персональных данных;

2) собственно контрольные:

осуществление проверки сведений, содержащихся в уведомлении об обработке персональных данных, или привлечение для осуществления такой проверки иных государственных органов в пределах их полномочий;

принятие в установленном законодательством РФ порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление интересов субъектов персональных данных в суде;

привлечение к административной ответственности лиц, виновных в нарушении настоящего Федерального закона;

3) надзорные:

запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать в установленном законодательством РФ порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

4) координационные:

направление заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных.

Настоящим Законом федеральному органу исполнительной власти, уполномоченному на осуществление функций по контролю и надзору за деятельностью операторов, предоставлены исключительные полномочия, реализация которых не обременена дополнительными условиями. Единственное исключение, действующее на этот счет, связано с осуществлением контрольно-ревизионных мероприятий, проведение которых, во-первых, осуществляется в строгом соответствии с разработанным ранее планом, во-вторых, предметом контроля является соответствие обработки персональных данных требованиям настоящего Закона, а в-третьих, в ходе осуществления им своей деятельности должна обеспечиваться конфиденциальность персональных данных. Тем самым определена строгая целевая направленность деятельности в процессе реализации подобного рода мероприятий.

4. Мероприятие по контролю - совокупность действий должностных лиц органов государственного контроля (надзора), связанных с проведением проверки выполнения юридическим или физическим лицом обязательных требований, осуществлением необходимых исследований (испытаний), экспертиз, оформлением результатов проверки и принятием мер по результатам проведения мероприятия по контролю. Мероприятия по контролю проводятся на основании заранее утвержденного плана и вынесенного на его основе документа (постановление, предписание и т.п.), управомочивающего на совершение определенных действий. Периодичность проведения проверок Законом не определена. Предположительно плановые проверки могут проводиться в отношении каждого бюро кредитных историй не чаще одного раза в год. Предусматривается проведение плановых проверок раз в один, два или три года.

Наряду с плановыми допустимо осуществление и внеплановых контрольных мероприятий. Внеплановые проверки проводятся:

для проверки исполнения предписаний об устранении ранее выявленных нарушений законодательства;

в случае обнаружения достаточных данных, указывающих на наличие правонарушений, или получения иных доказательств, свидетельствующих о наличии признаков нарушений законодательства.

Внеплановые мероприятия по контролю проводятся органами государственного контроля (надзора) также в случаях обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) иных юридических лиц и (или) индивидуальных предпринимателей, связанные с невыполнением ими обязательных требований, а также получения иной информации, подтверждаемой документами и иными доказательствами, свидетельствующими о наличии признаков таких нарушений. Внеплановые мероприятия по контролю могут проводиться по мотивированному решению органа государственного контроля (надзора), в том числе в отношении иных юридических лиц, оказывающих соответствующие однородные услуги.

Обращения, не позволяющие установить лицо, обратившееся в орган государственного контроля (надзора), не могут служить основанием для проведения внепланового мероприятия по контролю. Мероприятия по контролю проводятся на основании распоряжений (приказов) органов государственного контроля (надзора). В распоряжении (приказе) о проведении мероприятия по контролю указываются:

номер и дата распоряжения (приказа) о проведении мероприятия по контролю;

фамилия, имя, отчество и должность лица (лиц), уполномоченного на проведение мероприятия по контролю;

наименование юридического лица, в отношении которого проводится мероприятие по контролю;

цели, задачи и предмет проводимого мероприятия по контролю;

правовые основания проведения мероприятия по контролю, в том числе нормативные правовые акты, обязательные требования которых подлежат проверке; дата начала и окончания мероприятия по контролю.

Распоряжение (приказ) о проведении мероприятия по контролю либо его заверенная печатью копия предъявляется должностным лицом, осуществляющим мероприятие по контролю, руководителю или иному должностному лицу юридического лица одновременно со служебным удостоверением.

Мероприятие по контролю может проводиться только тем должностным лицом (лицами), которое указано в распоряжении (приказе) о проведении мероприятия по контролю.

Продолжительность мероприятия по контролю не должна превышать один месяц. В исключительных случаях, связанных с необходимостью проведения специальных исследований (испытаний), экспертиз со значительным объемом мероприятий по контролю, на основании мотивированного предложения должностного лица, осуществляющего мероприятие по контролю, руководителем органа государственного контроля (надзора) или его заместителем срок проведения мероприятия по контролю может быть продлен, но не более чем на один месяц. В целях проверки выполнения юридическими или физическими лицами обязательных требований органом государственного контроля (надзора) в пределах своей компетенции проводятся плановые мероприятия по контролю.

В отношении одного юридического или физического лица каждым органом государственного контроля (надзора) плановое мероприятие по контролю может быть проведено не более чем один раз в два года. В отношении субъекта малого предпринимательства плановое мероприятие по контролю может быть проведено не ранее чем через три года с момента его государственной регистрации.

Внеплановой проверке, предметом которой является контроль исполнения предписаний об устранении выявленных нарушений, подлежит деятельность юридического или физического лица при выявлении в результате планового мероприятия по контролю нарушений обязательных требований. При проведении мероприятий по контролю должностные лица органов государственного контроля (надзора) не вправе:

проверять выполнение обязательных требований, не относящихся к компетенции органа государственного контроля (надзора), от имени которого действуют должностные лица;

осуществлять плановые проверки в случае отсутствия при проведении мероприятий по контролю должностных лиц или работников проверяемых юридических лиц либо их представителей;

требовать представления документов, информации, образцов (проб) продукции, если они не являются объектами мероприятий по контролю и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;

требовать образцы (пробы) продукции для проведения их исследований (испытаний), экспертизы без оформления акта об отборе образцов (проб) продукции в установленной форме и в количестве, превышающем нормы, установленные государственными стандартами или иными нормативными документами;

распространять информацию, составляющую, охраняемую законом тайну и полученную в результате проведения мероприятий по контролю, за исключением случаев, предусмотренных законодательством РФ;

превышать установленные сроки проведения мероприятий по контролю.

По результатам мероприятия по контролю должностным лицом (лицами) органа государственного контроля (надзора), осуществляющим проверку, составляется акт установленной формы в двух экземплярах.

В акте указываются:

дата, время и место составления акта;

наименование органа государственного контроля (надзора);

дата и номер распоряжения, на основании которого проведено мероприятие по контролю;

фамилия, имя, отчество и должность лица (лиц), проводившего мероприятие по контролю;

наименование проверяемого юридического лица или фамилия, имя, отчество физического лица, фамилия, имя, отчество, должность представителя юридического лица или представителя физического лица, присутствовавших при проведении мероприятия по контролю;

дата, время и место проведения мероприятия по контролю;

сведения о результатах мероприятия по контролю, в том числе о выявленных нарушениях, об их характере, о лицах, на которых возлагается ответственность за совершение этих нарушений;

сведения об ознакомлении или об отказе в ознакомлении с актом представителя юридического или физического лица, а также лиц, присутствовавших при проведении мероприятия по контролю, их подписи или отказ от подписи;

подпись должностного лица (лиц), осуществившего мероприятие по контролю.

Один экземпляр акта с копиями приложений вручается руководителю юридического лица или его заместителю и индивидуальному предпринимателю или их представителям под расписку либо направляется посредством почтовой связи с уведомлением о вручении, которое приобщается к экземпляру акта, остающемуся в деле органа государственного контроля (надзора).

В случае выявления в результате мероприятия по контролю административного правонарушения должностным лицом органа государственного контроля (надзора) составляется протокол в порядке, установленном законодательством РФ об административных правонарушениях, и даются предписания об устранении выявленных нарушений.

Результаты мероприятия по контролю, содержащие сведения, составляющие конфиденциальную информацию (банковскую, налоговую, коммерческую или иную охраняемую законом тайну), оформляются с соблюдением требований, предусмотренных законодательством РФ о защите государственной тайны.

Операторы вправе вести журнал учета мероприятий по контролю. В журнале учета мероприятий по контролю должностным лицом органа государственного контроля (надзора) производится запись о проведенном мероприятии по контролю, содержащая сведения о наименовании органа государственного контроля (надзора), дате, времени проведения мероприятия по контролю, о правовых основаниях, целях, задачах и предмете мероприятия по контролю, о выявленных нарушениях, о составленных протоколах, об административных правонарушениях и о выданных предписаниях, а также указываются фамилия, имя, отчество, должность лица (лиц), осуществившего мероприятие по контролю, и его (их) подпись. Журнал учета мероприятий по контролю должен быть прошит, пронумерован и удостоверен печатью юридического лица или физического лица. При отсутствии журнала учета мероприятий по контролю в акте, составляемом по результатам проведенного мероприятия по контролю, делается соответствующая запись.

5. При выявлении в результате проведения мероприятия по контролю нарушений оператором требований должностные лица органов государственного контроля (надзора) в пределах полномочий, предусмотренных законодательством РФ, обязаны принять меры по контролю за устранением выявленных нарушений, их предупреждением, предотвращением возможного причинения ущерба правам, законным имущественным интересам заинтересованных лиц, а также меры по привлечению лиц, допустивших нарушения, к ответственности. Орган государственного контроля (надзора) может обращаться в суд с требованием о возмещении расходов на проведение исследований (испытаний) и экспертиз, в результате которых выявлены нарушения обязательных требований.

Должностные лица органов государственного контроля (надзора) при проведении мероприятий по контролю обязаны:

своевременно и в полной мере исполнять предоставленные в соответствии с законодательством РФ полномочия по предупреждению, выявлению и пресечению нарушений обязательных требований;

соблюдать законодательство РФ, права и законные интересы операторов;

проводить мероприятия по контролю на основании и в строгом соответствии с распоряжениями органов государственного контроля (надзора) о проведении мероприятий по контролю в порядке, установленном ст.8 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)";

посещать объекты (территории и помещения) оператора в целях проведения мероприятия по контролю только во время исполнения служебных обязанностей при предъявлении служебного удостоверения и распоряжения органов государственного контроля (надзора) о проведении мероприятия по контролю;

не препятствовать представителям оператора присутствовать при проведении мероприятия по контролю, давать разъяснения по вопросам, относящимся к предмету проверки;

предоставлять операторам либо их представителям, присутствующим при проведении мероприятия по контролю, относящуюся к предмету проверки необходимую информацию;

знакомить оператора либо его представителей с результатами мероприятий по контролю;

доказывать законность своих действий при их обжаловании оператором в порядке, установленном законодательством РФ.

Органы государственного контроля (надзора) и их должностные лица в случае ненадлежащего исполнения своих функций и служебных обязанностей при проведении мероприятий по контролю, совершения противоправных действий (бездействия) несут ответственность в соответствии с законодательством РФ. За ненадлежащее исполнение своих функций и служебных обязанностей при проведении мероприятий по контролю, а также за совершение противоправных действий (бездействия) должностные лица органов государственного контроля (надзора) могут быть привлечены к дисциплинарной, административной, уголовной и иной ответственности в соответствии с законодательством РФ.

Вред, причиненный оператору вследствие действий (бездействия) должностных лиц органов государственного контроля (надзора) при проведении государственного контроля (надзора), признанных в порядке, установленном законодательством РФ, неправомерными, подлежит возмещению в соответствии с гражданским законодательством.

О мерах, принятых в отношении должностных лиц, виновных в нарушении законодательства РФ, органы государственного контроля (надзора) обязаны ежегодно информировать Президента РФ, Правительство РФ и Федеральное Собрание РФ.

6. В соответствии с Приказом Федеральной службы по надзору в сфере связи от 30 июня 2005г. N 25 "Об информационном обеспечении деятельности Федеральной службы по надзору в сфере связи" подготовка информации о деятельности Федеральной службы по надзору в сфере связи осуществляется в соответствии с требованиями Постановлений Правительства РФ от 12 февраля 2003г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" и от 30 июня 2004г. N 318 "Об утверждении Положения о Федеральной службе по надзору в сфере связи", Концепции использования информационных технологий в деятельности федеральных органов государственной власти до 2010г., одобренной распоряжением Правительства РФ от 24 сентября 2004г. N 1244-р.

Информирование о деятельности Федеральной службы по надзору в сфере связи (далее - Россвязьнадзор) проводится в целях:

обеспечения открытости и публичности нормативных правовых актов и обязательных требований к осуществлению деятельности в сфере информационных технологий и связи;

обеспечения прозрачности процедур проведения Россвязьнадзором и его территориальными органами мероприятий по контролю соблюдения установленных обязательных требований, лицензионных условий и принятия решений;

обеспечения открытости Россвязьнадзора через информирование широкой общественности о деятельности Россвязьнадзора и его территориальных органов;

повышения качества услуг связи и обеспечения соблюдения обязательных требований через информирование общественности о нарушениях, допущенных операторами связи, и принятых к ним мерах;

защиты прав и законных интересов пользователей услугами связи через информирование об их правах и обязанностях, о порядке подачи жалоб в случаях нарушения их прав и законных интересов;

доступа граждан и организаций к информации из реестров, ведение которых осуществляет Россвязьнадзор;

оказания информационной поддержки и методической помощи лицам, осуществляющим деятельность в области информационных технологий и связи, при оформлении ими необходимых разрешительных документов и лицензий;

повышения эффективности межведомственного взаимодействия в сфере государственного управления в области информационных технологий и связи.

Информация о деятельности Россвязьнадзора размещается в официальном печатном органе Министерства информационных технологий и связи РФ, других средствах массовой информации и на официальном сайте Россвязьнадзора информационного портала Министерства www.minsvyaz.ru в разделе "Федеральная служба по надзору в сфере связи". Информационные материалы, публикуемые на сайте, должны быть классифицированы (иметь четкие классификационные признаки при определении уровней детализации) и персонифицированы (обеспечены специализированной адресной и аналитической информацией).

Лицами, предоставляющими официальную информацию о деятельности Россвязьнадзора, являются:

руководитель Федеральной службы по надзору в сфере связи; заместители руководителя Федеральной службы по надзору в сфере связи; руководители структурных подразделений центрального аппарата Федеральной службы по надзору в сфере связи;

руководители территориальных органов Федеральной службы по надзору в сфере связи; уполномоченное должностное лицо Россвязьнадзора.

7. Федеральная служба по надзору в сфере связи является далеко не единственным органом, уполномоченным на осуществление государственного надзора и контроля за деятельностью операторов. Последние в той же степени подвержены проверкам со стороны иных надзирающих субъектов, что и иные организации (физические лица), зарегистрированные в установленном законом порядке, независимо от видов деятельности последних.

За деятельностью бюро кредитных историй может быть установлен:

налоговый контроль;

валютный контроль;

банковский и страховой надзор, а также другие виды специального государственного контроля за деятельностью юридических лиц и индивидуальных предпринимателей на финансовом рынке;

контроль за обеспечением защиты конфиденциальной информации;

оперативно-розыскные мероприятия, дознание, предварительное следствие, прокурорский надзор и правосудие.

В сравнении с перечисленными контрольно-надзорные функции, осуществляемые Федеральной службой по надзору в сфере связи, являются специальными. Специализация последних обусловлена предметом регулирования и сферой действия настоящего Закона в той его части, в которой он затрагивает вопросы деятельности операторов (права и обязанности последних).

Из книги Правовые основы судебной медицины и судебной психиатрии в Российской Федерации: Сборник нормативных правовых актов автора Автор неизвестен

СТАТЬЯ 5. Федеральный орган исполнительной власти, специально уполномоченный в области промышленной безопасности (в ред. Федерального закона от 22.08.2004 № 122-ФЗ)1. В целях осуществления государственной политики в области промышленной безопасности Президент Российской

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г. автора Автор неизвестен

СТАТЬЯ 5. Специально уполномоченный государственный орган Российской Федерации по обеспечению карантина растений (в ред. Федерального закона от 22.08.2004 № 122-ФЗ)Федеральный орган исполнительной власти по обеспечению карантина растений в интересах Российской Федерации

Из книги Кодекс Российской Федерации об административных правонарушениях. Текст с изменениями и дополнениями на 1 ноября 2009 г. автора Автор неизвестен

Из книги Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных" автора Петров Михаил Игоревич

Статья 23.68. Федеральный орган исполнительной власти, уполномоченный на осуществление функций по принудительному исполнению исполнительных документов 1. Федеральный орган исполнительной власти, уполномоченный на осуществление функций по принудительному исполнению

Из книги Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 10 сентября 2010 г. автора Коллектив авторов

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Комментарий к статье 91. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что

Из книги Шпаргалка по информационному праву автора Якубенко Нина Олеговна

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Комментарий к статье 151. Комментируемая статья своим содержанием апеллирует к положениям ст.150 ГК

Из книги Гражданский процесс в вопросах и ответах автора Власов Анатолий Александрович

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 161. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию

Из книги Кодекс о Правонарушениях Республики Молдова в силе с 31.05.2009 автора Автор неизвестен

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Комментарий к статье 201. Нормы комментируемой статьи во

Из книги автора

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных Комментарий к статье 211. Положения комментируемой статьи определяют процедуру

Из книги автора

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

Из книги автора

58. УПОЛНОМОЧЕННЫЙ ПО ПРАВАМ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ Уполномоченный по правам субъектов персональных данных реализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и

Из книги автора

Каков круг субъектов по делам о защите избирательных прав и права на участие в референдуме граждан Российской Федерации? В ст. 259 ГПК определен круг субъектов, которые вправе обжаловать в суд решения или действия (бездействия) органа государственной власти, органа

Из книги автора

Статья 74-1. Обработка персональных данных с нарушением законодательства о защите персональных данных (1) Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных влечет наложение штрафа

Из книги автора

Статья 74-2. Отказ в предоставлении информации или воспрепятствование доступу сотрудников Национального центра по защите персональных данных (1) Отказ в предоставлении сведений или документов, запрошенных Национальным центром по защите персональных данных в процессе

Из книги автора

Статья 74-3. Невыполнение решений Национального центра по защите персональных данных Невыполнение в установленный срок решения Национального центра по защите персональных данных о восстановлении прав субъекта персональных данных, в том числе о приостановлении или

Из книги автора

Статья 423-4. Национальный центр по защите персональных данных (1) Правонарушения, предусмотренные статьями 741–743, устанавливаются Национальным центром по защите персональных данных. (2) Констатировать правонарушения и составлять протоколы вправе директор,

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их - ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» - спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

Этой информации итак много в интернетах и она более-менее однозначная.
Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма . Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

перечень сведений конфиденциального характера;
инструкция администратора информационной безопасности;
приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
перечень персональных данных, подлежащих защите;
приказ об утверждении мест хранения персональных данных;
инструкция пользователей информационной системы персональных данных;
приказ о назначении комиссии по уничтожению персональных данных;
порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
план внутренних проверок режима защиты персональных данных;
приказ о вводе в эксплуатацию информационной системы персональных данных;
журнал учета носителей информации информационной системы персональных данных;
журнал учета мероприятий по контролю обеспечения защиты персональных данных;
журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
правила обработки персональных данных без использования средств автоматизации;
положение о разграничении прав доступа к обрабатываемым персональным данным;
акт классификации информационной системы персональных данных;
инструкция по проведения антивирусного контроля в информационной системе персональных данных;
инструкция по организации парольной защиты;
журнал периодического тестирования средств защиты информации;
форма акта уничтожения документов, содержащих персональные данные;
соглашение о неразглашении персональных данных;
журнал учета средств защиты информации;
журнал проведения инструктажа по информационной безопасности;
инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
приказ о перечне лиц, допущенных к обработке персональных данных;
положение об обработке и защите персональных данных;
план мероприятий по обеспечению безопасности персональных данных;
модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно - чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее - ПДн) - это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. "О персональных данных").

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

своевременного обнаружения несанкционированного доступа к ПДн;
недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн - данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн - данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта ( не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

4. Биометрические персональные данные - информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и , защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

Гарантии - совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
определение личного представителя для защиты своих персональных данных;
получение полной информации о ПДн и их обработке;
выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и , персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей - для физических лиц; от 5000 до 10000 рублей - должностных лиц, от 20 тысяч до 50 тысяч рублей - для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей - для физических лиц, от 4 до 5 тысяч рублей - для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
исполнительных работ на срок до 12 месяцев;
ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
лишения права занимать определенные должности на срок от 2 до 5 лет;
ареста на срок от 4 до 6 месяцев.

Александр

Здравствуйте! Посмотрел свою кредитную историю, которая собирается на данных бюро кредитных историй. Вижу, что по мне делали запросы в БКИ без моего согласия два банка. У одного из них и моих персональных данных быть не должно. Законны ли запросы в БКИ этих двух банков? Что делать?

Сергей (старший юрист)

Здравствуйте, Александр! В соответствии с законом о кредитных историях банки могут делать запросы о кредитных историях граждан только при условии наличия на это их согласия. Это прямо прописано в ст. 6 указанного закона. Поэтому без получения Вашего согласия такие запросы являются незаконными.

Дмитрий

Здравствуйте. некое ООО "благоустройство" рассылает платежки с указанием моих ФИО адрес,кол-во прописанных и зарегистрированных людей при этом ни договора на обслуживание ни договора на обработку персональных данных я не подписывал. не нарушают ли они закон

Сергей (старший юрист)

Здравствуйте, Дмитрий! Распространение персональных данных людей таким образом, чтобы они стали доступными для неограниченного числа лиц является нарушением законодательства. В зависимости от обстоятельств дела это может быть квалифицировано как административное правонарушение или уголовное преступление.

Анна

Добрый день! Подскажите пожалуйста, представитель управляющей компании создал общую группу в вацапе, куда были добавлены все жители нашего дома. Соответственно данная группа содержит информацию по номерам телефонам всех жильцов. Имеет ли право управляющая компания создавать такие группы и открывать данные по номерам телефонов жителей, а также их ФИО без их согласия? По договору с управляющей компании, она имеет право передавать информацию по персональным данным третьим лицам только в целях выполнения своих обязанностей по договору

Сергей (старший юрист)

Здравствуйте, Анна! Право на создание групп в социальных сетях и мессенджерах имеют все граждане в соответствии с условиями пользования таких мессенджеров и социальных сетей. Скорее всего, в данную группу были приглашены жильцы дома, которые могут всегда отказаться от участия в такой группе. Кроме того, не доказано, что создание группы не направлено на достижение целей по выполнению обязательств управляющей компании перед жильцами. Поэтому в данной ситуации очень спорно наличие нарушения законодательства о персональных данных.

Дмитрий

Здравствуйте, ранее привлекался к уголовной ответственности, может ли работодатель запросить данные из полиции?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Запросить, конечно, может, но ему могут ответить отказом, так как у него нет права на получение данной конфиденциальной информации. Но у работодателя всегда есть возможность получить информацию о Вас через неофициальные каналы. Поэтому при желании он всегда сможет получить нужную информацию о кандидате на работу.

Евгений

Здравствуйте, работаю водителем общественного транспорта, руководство обязывает по громкой связи в салон при входе пассажиров объявлять свою Ф.И.О, является ли это нарушением закона о защите персональных данных? Могу ли я отказаться делать это?

Сергей (старший юрист)

Здравствуйте, Евгений! Если Вы согласитесь это делать, то никакого нарушения не будет, так как соответствующую информацию Вы сообщили добровольно. Но Вы можете отказаться от этого, если в трудовом договоре или других обязательных для Вас документах (например, должностная инструкция) нет такой обязанности. Насколько нам известно, на федеральном уровне такой обязанности у водителей нет.

Игорь

Добрый день, у нас в WhatsApp есть закрытая группа людей связанных определённой профессией. Для идентификации и понимания с кем мы общаемся мы попросили всех участников написать имена и фамилии, а также предоставить свою фотографию. Является ли это правомерным? Пояснение Группа создана для общения и помощи друг другу в работе. Так же в группе есть определённые правила, например о том что запрещено передавать переписку и данные пользователей третьим лицам.

Сергей (старший юрист)

Здравствуйте, Игорь! Если граждане самостоятельно будут выкладывать свои данные (которые могут быть и недостоверными), то никакого нарушения персональных данных тут не будет.

Алексей

Здравствуйте! Недавно в приложении тинькофф-банк на айфоне нашёл возможность пригласить друзей оформить карту. Функционал приложения предполагал просто нажатие кнопки "пригласить" напротив контактов телефонной книги, после чего номера телефонов, как я понимаю, отправлялись в банк и операторы банка звонили по этом номерам и предлагали оформить карты. Перед отправкой приглашений мне нигде не предлагалось ставить никаких галочек о передаче моих перс. данных, однако операторы банка обзваниваемым людям говорили не только что их телефон банку дал Алексей, но и называли мою фамилию. Сразу хочу оговорить, что моя фамилия очень редкая, в моём регионе (нижегородской области) я единственный носитель этой фамилии, да и в России тоже мало у кого такая фамилия. На следующий день я начал получать претензии от своих знакомых что Я (разумеется, они поняли, что это я) дал их номера банку. Я обратился в банк с претензией о нарушении закона 152-фз, однако юристы банка мне сказали, что фамилия не является персональными данными, позволяющими идентифицировать человека как физ.лицо, что они (банк) ничего не нарушают, а мои знакомые после общения с операторами банка определили меня лишь на основании "личных предположений" - вот их цитата: "Это личные предположения Ваших знакомых, как они поняли, что это именно Вы предоставили номер, неизвестно.", вот ещё их первый ответ: "Согласно ФЗ №152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Фамилии и имени недостаточно, чтобы отнести данные к конкретному лицу. Таким образом, нарушения законодательства нет, как Вам ранее сообщали сотрудники." Скажите, пожалуйста, есть ли в данном случае нарушение закона 152-фз и есть ли смысл мне идти в суд и привлекать людей, которые после общения с операторами банка определили мою личность, как свидетелей по данному делу.

Сергей (старший юрист)

Здравствуйте, Алексей! Возможно, что Вы уже дали согласие на обработку своих персональных данных, установив приложение Тинькофф-банка. Посмотрите внимательно условия лицензионного соглашения к данному приложению. Думаю, Вы будете неприятно удивлены. Поэтому с большой долей вероятности можно утверждать, что формального нарушения закона о персональных данных в Вашей ситуации нет.

Александр

Мне позвонил некий сотрудник консалтинговой фирмы, представился и сказал, что когда-то он работал в некотором банке и при моем обращении на горячую линию этого банка помогал мне в некоторых операциях. На тот момент он являлся сотрудником банка и, соответственно, имел доступ к моим персональным данным. Скажите, его звонок как представителя фирмы, где мои данные (ФИО, телефон) появились незаконно, не подтверждает факт несанкционированной передачи моих персональных данных, т.е. нарушение Закона о персональных данных.

Сергей (старший юрист)

Здравствуйте, Александр! В данном случае, скорее, речь идет о неправомерном действии конкретного сотрудника, который мог воспользоваться имеющимся у него доступом к базе персональных данных клиента банка. В любом случае он не имел права копировать базу данных клиентов банка и использовать ее для работы в коммерческой организации.

Анна

Здравствуйте. Скажите пожалуйста, согласие на обработку ПД подписывается один раз при получении какой-либо услуги в больнице, или при каждом обращении?

Сергей (старший юрист)

Здравствуйте, Анна! Для точного соблюдения закона требуется, чтобы при каждом предоставлении персональных данных пациент давал согласие на их обработку. Но в то же время закон о персональных данных позволяет сделать вывод о том, что если человек уже неоднократно обращался к определенному оператору обработки персональных данных и уже предоставлял соответствующие персональные данные, то при отсутствии новых персональных данных получать согласие не требуется. Но для перестраховки больницы могут каждый раз требовать подписывать согласие на обработку персональных данных.

михаил

Высылаю алименты почтойимеется исполнительный лист, не указывая свое место работы,ежемесячноимеется задолженность, без просрочек, есть ли основание для вскрытия моей личной базы данных, бывшей женой, если я не являюсь злостным не плательщиком?

Сергей (старший юрист)

Здравствуйте, Михаил! Сторона исполнительного производства вправе знакомиться с материалами такого производства, в том числе содержащимися там персональными данными должника. Но при этом взыскатель по исполнительному производству не вправе разглашать такую информацию третьим лицам.

Елена

Здравствуйте! В сети в интернет в различных группах в открытом доступе гражданин,с которым у меня судебные разбирательства, выкладывает фотоматериалы из дела, в том числе с моими персональными данными ФИО, адрес, год рождения. Можно ли данного гражданина как-то привлечь к ответственности например за разглашение моих персональных данных? Спасибо

Сергей (старший юрист)

Здравствуйте, Елена! В действиях гражданина имеется факт нарушения Ваших персональных данных. Вы можете обратиться в прокуратуру или полицию для решения вопроса о возбуждении уголовного дела или привлечения гражданина к административной ответственности.

Иван Иванович

Является ли передача данных с видеокамер, администрацией рынка частному лицу, нарушением закона о персональных данных относительно меня.

Сергей (старший юрист)

Здравствуйте, Иван Иванович! Смотря для каких целей была передана запись. Если для раскрытия правонарушения или преступления, то такие действия не являются противоправными. Кроме того, само по себе видеоизображение территории, на которой находятся определенные лица, не содержит в себе никаких персональных данных и не позволяет идентифицировать человека по его фамилии, имени, адресу и т.д.

Александр

Здравствуйте! Некая организация, считающая, что я должен ей денег, хотя никаких договоров мы не заключали, прислало мне претензию открытым письмом, на листе бумаги, который попал не в мой почтовый ящик, по вменяемому долгу с указанием ФИО, адреса и суммы долга с пенями. Есть ли в этом факт нарушения моих прав на защиту персональных данных?

Сергей (старший юрист)

Здравствуйте, Александр! Нарушения законодательства о персональных данных нет, так как это письмо адресовалось именно Вам и отсутствуют доказательства умышленного распространения персональных данных. Кроме того, не известно, по какой именно причине письмо попало в чужой почтовый ящик. Может быть, это ошибка разносчика.

Александр

Здравствуйте, Сергей! А разве должностное лицо не запечатывая письмо с персональными данными не создаёт умышленно условия для их разглашения?

Сергей (старший юрист)

Нет. Письмо адресовалось Вам, а не размещалось для публичного обозрения. Конечно, Вы можете попытаться доказать обратное, но на это потребуется много времени и денег.

Олег Богородский

На одном из сайтов по биржевой торговле требуют пройти верификацию счёта с предоставлением фотокопии паспорта первой страницы и с пропиской, а также документ подтверждающий прописку. Правомерно ли это.

Сергей (старший юрист)

Здравствуйте, Олег! Ничего противозаконного в установлении личности пользователя нет. Более того, законодательство о противодействии отмыванию преступных доходов обязывает отдельные организации принимать меры по верификации своих клиентов.

Евгения

Добрый день! Работаю в снт бухгалтером. В ходе прокурорской проверки председатель затребовал от меня и кассира объяснительные записки, в которых мы указали свои фио и должности. В результате делопроизводитель выложил в общий чат снт наши объяснительные без нашего согласия и уведомления. Существует ли в этом случае нарушение персональных данных и чести и достоинства со стороны делопроизводителя?

Сергей (старший юрист)

Здравствуйте, Евгения! Формально имеется нарушение законодательства о персональных данных, но вот говорить о нарушении чести и достоинства этим фактом нельзя. Для этого должны быть более веские основания.

Андрей

Добрый день Елена. Коллега занимался соисканием новой должности. Фирма после изучения его резюме предложила пройти собеседование. В течение этого взаимодействия с работниками кадровой службы фирмы, как потом выяснилось они записывали все телефонные переговоры безведома коллеги. Результатом работы с кадровиками стали некоторые предварительные договоренности об условиях работы в новой должности. Когда пришло время уходить со старого места работы, коллеге действующее руководство предложило повышение в должности и более выгодные условия, и он принял решение остаться на старом месте работы. Свое решение сотрудник сообщил и фирме, спустя некоторое время на старое место работы пришло письмо от фирмы с приложением телефонных разговоров коллеги и письмом поясняющим обстоятельства этих переговоров. Вопрос: Возможно ли привлечь фирму должностных лиц за совершенные ими действия, если возможно, какая ответственность предусмотрена законом. С уважением, Андрей

Сергей (старший юрист)

Здравствуйте, Андрей! В действиях данной организации и ее должностных лиц имеются признаки преступления, предусмотренного ч. 2 ст. 138 УК РФ, то есть нарушение тайны телефонных переговоров. Надо писать заявление в следственный комитет РФ о возбуждении уголовного дела.

Юля

Скажите пожалуйста. Мой бывший муж в стадии алкогольного опьянения протаранил своим внедорожником мою машину. Сын в это время все снимал на телефон. Вызвали полицию. Полиция попросила скинуть на флешку снятое видео. На следующий день в Контактах появилась фейковая страница, и выложено это видео. городок у нас маленький, опозорились, у 12 летней дочери нервный срыв. Больше видео кроме ментов не кому не показывалось и не скидывалось, налицо дело рук ментов. Скажите правомерны ли их действия, если нет, то куда обращаться?

Сергей (старший юрист)

Здравствуйте, Юля! Действия однозначно являются противозаконными. Вам необходимо обратиться к начальнику местного РОВД для организации проведения служебной проверки по факту распространения материалов, составляющих тайну предварительного следствия. Также можно обратиться в прокуратуру с жалобой на действия сотрудников полиции.

Александр

При ознакомлении с материалами проверки по моему заявлению сотрудники полиции отказываются предоставить мне для ознакомления объяснение человека, в отношении которого мной написано заявление, ссылаясь на закон о персональных данных. Законно ли поступают в данной ситуации сотрудники полиции. Если нет, предусмотрена ли за это какая-то ответственность? Спасибо.

Сергей (старший юрист)

Здравствуйте, Александр! Действия сотрудников полиции являются незаконными, так как Вы имеете право в соответствии с УПК РФ знакомиться со всеми материалами проверки, касающимися Вас лично. Как минимум, подобные действия полицейских нарушают УПК РФ, что может быть основанием для их привлечения к дисциплинарной ответственности.

Наталья

Здравствуйте! На работе сложилась неприятная ситуация!!! Мой непосредственный начальник дал мне указание выписать из личных карточек форма Т-2 конкретных работников сведения о ФИО, дате рождении, месте проживания и номере телефона - для отчёта. Выписка была произведена в присутствии кадрового работника. Директор в настоящее время проводит служебную проверку и пытается наложить дисциплинарное взыскание за работу с "личными делами". Пояснения моего начальника и мои в расчёт не берутся - нужна "кровь". При трудоустройстве все сотрудники подписывают Согласие на обработку персональных данных. Грозит ли мне дисциплинарное взыскание, если информация была изъята по устному распоряжению моего непосредственного руководителя, для формирования отчёта. Разглашение информации каким бы то ни было третьим лицам, в моих ЛИЧНЫХ интересах! не было. Хотелось бы получить ответ со ссылкой на нормативные акты, для предоставления комиссии по служебной проверке. Спасибо!

Сергей (старший юрист)

Здравствуйте, Наталья! Формально Вы и Ваш непосредственный руководитель нарушили законодательство, так как к персональным данным работников доступ может иметь только специально уполномоченное лицо. Это предусмотрено ст. 88 Трудового кодекса РФ. Поэтому для выстраивания Вашей позиции защиты надо изучить все локальные документы относительно персональных данных и Вашу должностную инструкцию и трудовой договор.

Оксана

Здравствуйте. На работе оставила на столе свои резюме. Сотрудница без моего ведома взяла один экземпляр и передала руководителю.Спустя месяц мне руководитель сказала, что "Случайно" нашла резюме в интернете, хотя это полная ложь, данное резюме у меня существует только в виде файла. Могу ли я привлечь к ответственности сотрудника?

Сергей (старший юрист)

Здравствуйте, Оксана! Оснований для привлечения сотрудницы к ответственности нет, так как она целенаправленно не собирала сведения о Вашей частной жизни, не доводила до сведения широкого круга лиц полученные о Вас сведения. Кроме того, возможность распространения Ваших персональных данных появилась вследствие Вашей неосторожности. Да и в суде Вы не сможете доказать, что именно эта сотрудница взяла и передала руководству Ваше резюме, если, конечно, они сами не признаются в этом.

Светоана

Моя мама обратилилась в районое отделение пенсионного фонда за получением надбавки к пенсии. Там ей сказали что неоходимы оригиналы свидетельств о рождении на детей. При этом сказано что "если не получиться то документы выбросят".куда обратится для привлечения к ответственности работника в случае утраты имдокументов, может при подаче документов необходимо написать список предоставляемых документов иначе потом не докажешь что они были?Какая предусматривается ответственность за утрату дркументов?

Сергей (старший юрист)

Здравствуйте, Светлана! По меньшей мере факт утраты документов будет образовывать дисциплинарный проступок, за который виновное лицо должно понести ответственность от своего начальства вплоть до увольнения. В самых неблагоприятных случаях можно попытаться привлечь чиновника к уголовной ответственности за халатность, но это маловероятно, так как будет необходимо доказать наличие факта причинения значительного ущерба охраняемым законом правам и интересам граждан.

Ирина

Здравствуйте! Работаю в ЧОО. На одном из КПП установлена камера видеонаблюдения,на этом же КПП было нарушение пропускного режима. Я засветилась на видео. Работодатель собрал всех охранников и показал это видео! Правомерны ли его действия? Документ о персональных данных я подписывала,но года 2 назад! Моё согласие на обзор этого видео никто не спрашивал... Что я могу предъявить работодателю?

Сергей (старший юрист)

Здравствуйте, Ирина! В действиях работодателя никакого нарушения нет, так как этим видео никакие Ваши персональные данные не разглашаются. Кроме того, на видео, скорее всего, не специально запечатлены именно Вы, а КПП, являющееся центром фокуса. Поэтому шансы что-то отсудить у работодателя практически равны нулю.

талияНа

сотрудница забежала ко мне в кабинет, назвала меня старой каргой, змеей, пожелала уходить на пенсию и пить с мужем чай. Заведующая не дает мне домашний адрес этой сотрудницы, чтобы я указала его в исковом заявлении об оскорблении личности, ссылаясь на защиту персональных данных. Как мне быть?

Сергей (старший юрист)

Здравствуйте! Действия начальницы являются правомерными, так как без согласия человека нельзя разглашать его персональные данные. Для получения домашнего адреса Вы можете сначала написать заявление в полицию, которая при получении объяснения с этой женщины узнает ее домашний адрес. Вы потом можете ознакомиться с материалами проверки.

Дмитрий

Здравствуйте. я Работаю в системе образования. Недавно органы власти областного уровня спустили сверху указание собрать сведения о родителях части воспитанников Ф.И.О и паспортные данные для того чтобы компенсировать расходы на питание в учреждении. Дело-то хорошее, но вот насколько законно с нашей стороны собирать такие данные?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Сбор подобных данных не будет содержать признаков какого-либо правонарушения, если родители добровольно согласятся предоставить такую информацию. Если Вы им объясните для каких целей необходимы сведения, то, думаю, все родители правильно поймут Вас.

Ольга

Здравствуйте! Я главбух на предприятии. Сотрудница взяла кредит, указала телефон сменщицы кроме своего. Кредит не оплачен. При очередном звонке о задолженности сменщица указала мой личный сотовый телефон. Из вредности. Теперь кредит справляют с меня. Постоянно звонки и смс. На мои объяснения не реагируют. К кредиту отношения не имею совершенно. Как это прекратить? Что мне сказать или написать банку? И возможно привлечь к ответственности физлицо за разглашение моего телефона. Спасибо!

Сергей (старший юрист)

Здравствуйте, Ольга! Вы можете сказать при следующем звонке о том, что обратитесь в уполномоченные органы с заявлением о привлечении банк к административной ответственности за нарушение законодательства о персональных данных. Также можно написать в банк заявление о прекращении обработки Ваших персональных данных. С сотрудницы, которая оставила Ваш номер телефона, Вы можете потребовать компенсации морального вреда в судебном порядке.

В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Шкилев Николай Александрович

ВВЕДЕНИЕ

Положения Конституции Российской Федерации свидетельствуют о решительном переходе государства на путь построения демократического общества, где главной ценностью является человек. В настоящее время можно с уверенностью сказать, что Российское государство на данном пути столкнулось с рядом требующих решения проблем, среди которых выделяется обеспечение защиты сферы частной жизни гражданина.

Часть первая статьи 24 Конституции РФ содержит норму, согласно которой «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается». Данное положение Конституции РФ имеет фундаментальный, системообразующий характер и должно определять смысл и содержание значительного числа нормативно-правовых актов разного уровня, выделяющих категорию «частная жизнь» и производную ей « персональные данные ».

Вычленение категории «персональные данные» из более общей категории «частная жизнь», прежде всего, связано с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты конфиденциальных сведений персонального характера.

Развитие этой проблемы вызывает естественную необходимость в обеспечении надежной защиты информационных ресурсов и процессов, упорядочении общественных отношений в данной сфере. Наше государство только приступает к разработке и внедрению в законодательной и исполнительной областях комплексного подхода к обеспечению защиты персональных данных. В этой связи особенно важно, чтобы вырабатываемый подход охватывал весь спектр проблем, а не сводился к рассмотрению лишь их технической составляющей.

Следует отметить, что законодатель за последнее десятилетие не оставил без внимания рассматриваемую формирующуюся информационную среду, приняв ряд системообразующих законодательных актов, среди которых можно выделить, Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене», - ст. 11 «Информация о гражданах (персональные данные)» Закона «Об информации, информатизации и защите информации». Защите персональных данных работников посвящена глава 14 Трудового кодекса Российской Федерации.международных стандартов:- ISO 17799 - по информационной безопасности;- ISO 15489 - по управлению документацией.

Принятие ФЗ «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России - бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, ФЗ имеет огромное социальное значение.

Согласно исследованию холдинга ROMIR Monitoring, проведенного в январе 2006 года по заказу «РИО-Центра», российские граждане целиком и полностью поддерживают законодательную инициативу властей. Например, лишь 3,4% респондентов уверено в защищенности своих персональных данных, а противоположной точки зрения - то есть уверенности в полной беззащитности своих приватных сведений - придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Другими словами, очевидно, что с социальной точки зрения в стране уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.

Все это наводит на мысль, что исполнительная и судебная ветви власти могут и должны с энтузиазмом перенять эстафету законодателей. и уже с 30 января 2007 года органы правопорядка и суды могут начать привлекать и осуждать лиц, виновных в нелегальном распространении персональных данных. Однако с наиболее серьезными последствиями нового ФЗ придется столкнуться коммерческим компаниям, которые могут потерять лицензию на обработку приватных сведений граждан в случае нарушения требований закона.

1.Краткий правовой анализ Федерального закона “О персональных данных”

1.1. Основные понятия и термины закона

Прежде чем перейти к экспертизе требований ФЗ «О персональных данных», рассмотрим основные понятия этого нормативного акта. Список наиболее важных терминов вместе с пояснениями представлен в таблице ниже (см. таб. 1). Полный листинг понятий ФЗ можно найти во 2 ст. полного текста закона.

Прежде всего, следует обратить внимание на определение термина «персональные данные» (см. таб. 1). Далее по тексту в качестве синонима к этому понятию будут использоваться такие словосочетания, как приватные сведения, личная информация, частные записи граждан и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых ФЗ. Также важно заметить, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Таблица 1.

Основные понятия закона «О персональных данных»

Термин	Определение	Примеры
Персональные данные	Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).	ФИО, дата и место рождения, адрес, образование, профессия, доходы и т.д. По сути, любые сведения о жизни гражданина.
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.	Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.
Обработка персональных данных	Практически любые действия (операции) с персональными данными.	Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.
Распространение персональных данных	Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.	Обнародование персональных данных в СМИ, размещение в Интернете и других сетях или предоставление доступа к персональным данным каким-либо иным способом.
Блокирование персональных данных	Временное прекращение обработки персональных данных.	Замораживание сбора, систематизации, накопления, использования и любых других операций с персональными данными.
Обезличивание персональных данных	Действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;	Результаты статистических опросов - обезличенные данные.
Информационная система персональных данных	Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;	База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).
Конфиденциальность персональных данных	Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания	Требование обеспечить защиту от утечек.

Анализ главных определений ФЗ позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней ФЗ понимает защиту от распространения (синоним слову «утечка»). Таким образом, закон «О персональных данных» затрагивает деятельность абсолютно всех коммерческих компаний и госструктур, которые теперь должны позаботиться о защите персональных данных от неавторизованного распространения, то есть, от утечки.

1.2. Основные положения закона

Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона - «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.

В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.

Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.

В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).

1.3. Требования к безопасности персональных данных

Особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

1.4. Ответственность за нарушения закона

При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

1.5. Критические даты

Из представленной выше экспертизы ФЗ «О персональных данных» следует, что организациям предстоит принять целый ряд технических и организационных мер, чтобы удовлетворить новым нормативным требованиям. Далее в таблице (см. таб. 2.) приведен ряд критических дат, к наступлению которых бизнес и госсектор обязан привести в соответствие ФЗ свои бизнес-процессы и IT-системы.

Критические даты закона «О персональных данных»

	Расшифровка
	ФЗ «О персональных данных» вступает в силу
	Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует).
	Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Другими словами, информационная система, включающая в себя базу персональных данных, а также информационные и технические средства для их обработки, должна соответствовать требованиям к защите конфиденциальности приватной информации (ст.19 ч.1).

Выводы

Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации - персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой - политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.

2.Краткий анализ Федерального закона “О персональных данных” в вопросах информационных технологий.

2.1 Требования к ИТ-безопасности

По требованиям нормативно-правовых документов работы по обеспечению безопасности персональных данных являются неотъемлемой частью работ при создании информационных систем для их обработки. Т.е. информационные системы, в которых обрабатываются персональные данные, должные в обязательном порядке содержать подсистему защиты этих данных

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных » от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных », Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных ». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.

Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.

2.2. Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

2.3.Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных ». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Однако это лишь одна сторона медали - с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Итак, необходимым условием обработки персональных данных является согласие на это субъекта персональных данных, за исключением особых случаев.

Федеральный закон обязывает операторов соблюдать требования по конфиденциальности персональных данных (за исключением общедоступных и обезличенных персональных данных), в том числе с помощью криптографических средств.

В целом, требования по обеспечению безопасности персональных данных устанавливаются Федеральным законодательством, Постановлениями Правительства РФ и иными подзаконными актами. Контроль выполнения требований по обеспечению безопасности персональных данных осуществляется Федеральной службой безопасности и Федеральной службой по техническому и экспертному контролю.

На этапе проектирования информационной системы или при её эксплуатации необходимо провести категорирование персональных данных. На основании категории персональных данных, а также характеристик информационной системы, связанных с угрозами безопасности персональных данных, информационной системе присваивается определённый класс, который определяет требования к защите обрабатываемых в ней данных.

Классификация информационных систем персональных данных проводится на основе нормативно-правовых документов ФСТЭК.

Мероприятия по защите персональных данных, в частности, должны включать в себя:

Определение угроз безопасности персональных данных при их обработке, разработка модели угроз;
Разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
Проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
Установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию;

Важно отметить, что согласно требованиям нормативно-правовых документов средства защиты, используемые в информационных системах персональных данных (в том числе средства защиты от несанкционированного доступа, криптографические средства защиты, средства защиты от утечек по техническим каналам) должны в установленном порядке проходить оценку соответствия требованиям ФСБ и ФСТЭК.

И согласно требованиям обмен персональными данными при их обработке должен осуществляется по каналам связи, защита которых реализована с помощью организационных или технических мер.

В соответствии с законом №152-ФЗ существенно расширяется круг юридических лиц, автоматизированные системы которых должны содержать подсистемы защиты информации. В их число попадают медицинские учреждения, инвестиционные и трастовые компании, прочие структуры, привлекающие средства населения, а также все юридические лица, в составе автоматизированных систем которых в том или ином виде ведутся личные дела сотрудников.

Со дня вступления ФЗ «О персональных данных» в силу (30 января 2007 года) для операторов персональных данных описанные в законе требования по обработке и в том числе по защите персональных данных являются обязательными.

Следует отметить, что Федеральный закон касается не только вновь создаваемых систем обработки персональных данных. Информационные системы персональных данных, созданные до дня вступления закона в силу, должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 января 2010 года.

В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” сказано: “Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”. Рассмотрим, каким образом в соответствии сдействующими законадательными и нормативными актами грамотно подойти к вопросу внедрения новых средств защиты данных.

Для этого необходимо в первую очередь определиться с требованиями к реализации системы защиты данных.

Для формирования основных базовых требований к реализации системы защиты данных необходимо определиться с ответами на следующие вопросы:

Что должно служить сущностью “объект доступа”, другими словами, что должен представлять собою объект (в общем случае, набор объектов), при сохранении в который, данные должны шифроваться и/ либо гарантированно удаляться (естественно, что речь идет об автоматическом “прозрачном” для пользователя шифровании данных “на лету” при их сохранении в объект (и соответствующим образом расшифрования), реализуемого системным драйвером (аналогично и гарантированного удаления). Подходы к построению СЗД, предполагающие реализацию шифрования и/либо гарантированного удаления вручную пользователем, а уж тем более, вопросы реализации этих функций на прикладном уровне - из конкретных приложений, рассматривать не будем, наверное, даже не следует пояснять почему, если мы говорим об эффективных средствах защиты для корпоративных приложений, ориентированных на защиту персональных данных;
Что должно служить сущностью “субъект доступа”, другими словами, следует ли при принятии решения о шифровании (расшифровании) и/либо гарантированного удаления данных при запросе доступа к объекту в принципе учитывать, и если да, то каким образом учитывать то, какой пользователь и каким процессом обращается к объекту. Другими словами, следует управлять тем, какие пользователи сохраняют данные в зашифрованном виде (соответственно их информация гарантированно удаляется), либо тем, в какие объекты данных сохраняются в шифрованном виде (соответственно, в каких объектах данные гарантированно удаляются);
Что должно служить сущностью “право шифрования”. Дело в том, что при построении СЗИ от НСД возможны два подхода к реализации разграничительной политики доступа к ресурсам: посредством назначения атрибутов, присваиваемых объектам (здесь можно говорить об атрибутах “шифрование” и “гарантированное удаление”), либо посредством назначения прав доступа к объектам для пользователей. Этот вопрос тесно связан с предыдущим;
Как обеспечить коллективный доступ пользователей к зашифрованным данным (это одна из ключевых задач для корпоративных приложений при защите персональных данных, состоящая в том, что данные должны располагаться на общем ресурсе (как правило, разделенные в сети файловые объекты), причем в зашифрованном виде, при этом к этим данным должно предоставляться право доступа нескольким пользователям, например, удаленно к файловому серверу с рабочих станций корпоративной сети). Соответственно следует говорить и о гарантированном удалении данных в коллективно используемых ресурсах. Важным здесь является вопрос, учитывать ли какие-либо идентификационные данные пользователя (если да, то каким образом) при генерации ключа шифрования.

Рассмотрим эти вопросы по порядку, при этом будем учитывать, во-первых, что обе процедуры, и шифрование, и гарантированное удаление весьма ресурсоемки и оказывают влияние на загрузку вычислительного ресурса (даже при их реализации на уровне системного драйвера, в случае же реализации их на уровне приложения загрузка вычислительного ресурса возрастает в разы), во-вторых, на одном вычислительном средстве в корпоративных приложениях, как правило, обрабатывается как открытая, так и конфиденциальная информация (причем, подчас, конфиденциальная информация также может категорироваться), т.е. далеко не все данные следует дополнительно защищать средствами шифрования и гарантированного удаления.

Различные по категории конфиденциальности данные должны храниться в различных файловых объектах (только в этом случае могут быть реализованы различные режимы их обработки), причем, как на жестком диске, так и на внешних накопителях, причем как на локальных, так и на разделенных в сети (при этом не обеспечить коллективный доступ к данным - без возможности разделения файловых объектов в сети) . Основным объектом реализации разграничительной политики доступа к ресурсам является “папка”. Что касается внешних накопителей (например, Flash-устройств), то подчас на них разрешается записывать информацию только в зашифрованном виде, т.е. в этом случае объектом шифрования должен служить диск (однако, может разрешаться в зависимости от типа информации на одном внешнем накопителе сохранять данные, как в открытом, так и в шифрованном виде, тогда объектом шифрования вновь становится “папка”, например, каталог на накопителе). Папка является и обязательным объектом шифрования при использовании разделяемого ресурса (например, жесткого диска на сервере) при реализации коллективного доступа к данным в корпоративной сети. В некоторых конкретных случаях может потребоваться шифрование и отдельного файла, в частности, вся база данных может располагаться в отдельном файле. Не смотря на частность данных случаев, их возможность - объектом шифрования является файл, также должна быть реализована в средстве защиты.

Требование к реализации. Объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети. При этом средством защиты должна предоставляться возможность задания любого набора объектов (например, несколько каталогов на выбор, включая разделенные в сети) в качестве объектов криптографической защиты и гарантированного удаления остаточной информации

Несмотря на кажущуюся очевидность данных требований, на практике широко распространены средства с весьма ограниченными возможностями задания объектов защиты, например, только локальный диск (так называемый, “файловый сейф”), либо только локальные файловые объекты могут назначаться для шифрования данных, или, например, совсем уж странное решение реализуется в некоторых средствах защиты в части гарантированного удаления остаточной информации - если активизируется этот режим, то гарантированно удаляются данные во всех файловых объектах (а как же совершенно не оправданное в этом случае дополнительное влияние на загрузку вычислительного ресурса?). Естественно, что подобные средства более просты в практической реализации, однако, следствием реализации подобных решений является их невысокая потребительская стоимость в корпоративных приложениях.

Перейдем к рассмотрению следующих двух очень важных взаимосвязанных вопросов. Следует ли учитывать каким-либо образом сущность “пользователь” при построении схемы защиты, следовательно, дополнительная защита должна являться привилегией пользователя (рассматриваться как его право), либо объекта (рассматриваться, как дополнительный атрибут файлового объекта). Заметим, что права доступа к объектам в корпоративных приложениях следует рассматривать, как принадлежность пользователя, а не как атрибут файлового объекта В данном же случае, все наоборот. Особенностью корпоративных приложений является то, что один и тот же пользователь должен обрабатывать на одном компьютере, как открытую, так и конфиденциальную информацию (если только открытую, то отсутствует потребность в дополнительной защите данных, а только конфиденциальную - на практике, как правило, не бывает). Следовательно, если дополнительную защиту данных рассматривать, как привилегию пользователя (т.е. для учетной записи устанавливать соответствующий режим сохранения и удаления (модификации) данных), то в корпоративных приложениях это будет означать, что все данные (как открытые, так и конфиденциальные) пользователя следует шифровать и гарантированно удалять. Это бессмысленно! Следовательно, шифрование и гарантированное удаление необходимо рассмаривать не как привилегию пользователя (учетной записи), а как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, присваиваемыми объектам - при сохранении данных в этот объект они автоматически шифруются, при удалении (модификации) объекта данные гарантированно удаляются.

Требование к реализации. Возможность дополнительной защиты данных методами шифрования и гарантированного удаления необходимо рассмаривать как свойство объекта, которое определяется соответствующими дополнительными атрибутами: “шифрование” и “гарантированное удаление”, устанавливаемыми для дополнительно защищаемого объекта.

Теперь о коллективном доступе к ресурсам. Это очень важная функциональная возможность. Без ее практической реализации невозможно обеспечить не только общие для пользователей файловые хранилища, но и принципиально организовать обмен защищаемыми данными через файловую систему, причем не только в сети, но и локально, на одном компьютере. Коллективный доступ к ресурсам априори возможен лишь в том случае, когда такая сущность, как “ключ шифрования” едина (ключ одинаковый) для пользователей, имеющих право доступа к коллективно используемому ресурсу.

С учетом сказанного можем сделать два очень важных вывода, во-первых, средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, во-вторых, ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей, т.к. в противном случае, эти данные должны совпадать для учетных записей, под которыми разрешен доступ к коллективно используемым объектам (что недопустимо). Заметим, что несмотря на данное, казалось бы, очевидное требование, подобные решения, реализованные на практике, существуют.

Требование к реализации. Средство защиты должно обеспечивать возможность задания различных ключей шифрования для различных дополнительно защищаемых объектов (в том числе и на одном компьютере) - в пределе, для каждого объекта свой ключ шифрования, при этом ключ шифрования ни коим образом не должен генерироваться на основе идентификационных данных (идентификатор и пароль) пользователей.

В порядке замечания отметим, что с целью снижения ресурсоемкости средства защиты, с учетом того, что на одном компьютере может обрабатываться конфиденциальная информация различных категорий, как следствие, требующая различной дополнительной защищенности, целесообразно предусмотреть возможность шифровать данные различных категорий (различные объекты) с использованием различных алгоритмов шифрования (в частности, с использованием различных длин ключа шифрования), соответственно, гарантированно удалять данные различных категорий с использованием различных правил (в частности, с возможностью задания для различных объектов различного числа проходов очистки - записи маскирующей информации, и различных способов задания маскирующей информации - маскирующая информация - это те данные, которые записываются поверх исходных данных при уничтожении, либо при модификации объекта, другими словами, эти те данные, которые остаются на носителе в качестве остаточной информации).

Теперь остановимся еще на одном важном вопросе реализации коллективного доступа, в данном случае, удаленного доступа к разделенным в сети дополнительно защищаемым объектам. Упрощенно, имеем следующую структуру системы. На рабочих станциях пользователями осуществляется обработка данных, которые сохраняются в разделенный между пользователями объект, располагаемый на отдельном компьютере (файловом сервере). Возникает вопрос, где осуществлять процедуру шифрования данных - на рабочих станциях, перед их сохранением на сервере, либо собственно на сервере? Наверное, ответ на этот вопрос очевиден - на рабочих станциях. Это объясняется тем, что при таком решении данные передаются по каналу связи в зашифрованном виде (в противном случае, в открытом).

Требование к реализации. При реализации коллективного доступа к разделенным в сети дополнительно защищаемым объектам шифрование данных должно осуществляться на рабочих станциях, на которых пользователями осуществляется обработка данных.

В порядке замечания отметим, что такое решение возможно лишь в том случае, если средством защиты выполняется требование к реализации, состоящее в том, что объектами криптографической защиты и гарантированного удаления остаточной информации для корпоративных приложений должны являться объекты любого уровня иерархии (диск, папка (каталог, подкаталог), файл) на жестком диске и на внешних накопителях, причем как на локальных, так и на разделенных в сети (см. выше).

Заключение

Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке. Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны сообщаться в уполномоченный орган.

Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:

при наличии трудовых отношений;
при заключении договора, стороной которого является субъект персональных данных;
если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
если персональные данные являются общедоступными;
если персональные данные включают в себя только фамилии, имена и отчества субъектов;
при оформлении пропусков;
если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
если персональные данные обрабатываются без использования средств автоматизации.

В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления первых заявлений и жалоб. Начать можно со следующих очевидных мер:

Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.

Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:

определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
определить способы обработки;
определить лиц, имеющих доступ к данным;
сформулировать юридические последствия;
определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.

Просмотров