Закрытые персональные данные

Обработка персональных данных юридического лица

Защита персональных данных
с помощью DLP-системы

И ногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

• право на получение нужных ему данных, например, от государственных органов;
• право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

• гражданско-правовой , в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
• административной , в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
• уголовной , наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1. изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2. включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

4. включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Перечень персональных данных: что к ним относится и при каких условиях?

В начале жизни каждый человек получает имя и свидетельство о рождении. Спустя годы, он получает внутренний паспорт, ИНН, страховое свидетельство и другие документы, в которых содержатся его персональные данные.

Во время получения каждого из вышеперечисленных документов мы соглашаемся на обработку наших персональных данных. И зачастую многие даже не подозревают об этом, так как не читают документы перед тем, как их подписывать.

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

• фамилия, имя, отчество;
• место жительства или регистрация;
• дата и место рождения;
• семейное, социальное или имущественное положение;
• сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

• фамилия, имя и отчество;
• дата рождения;
• идентификационный номер;
• место рождения;
• гражданство;
• информация о регистрации по месту жительства или месту проживания;
• свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
• сведения о семейном положении (о супруге, детях и родителях);
• информация об образовании;
• информация о роде занятий;
• о пенсии;
• о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
• о налоговых обязательствах;
• об исполнении воинской обязанности.

У юридических лиц?

• Наименование юридического лица.
• Организационно-правовая форма.
• Ююридический адрес.
• Адрес местонахождения юридического лица.
• ОГРН (основной государственный регистрационный номер).
• ИНН (идентификационный номер).
• КПП (код причины постановки на учет).
• Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что может быть отнесено в данную категорию при выполнении определенных условий?

1. Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
2. В примерно таком же положении находиться и email адрес.

Большинство людей прописывают в адресе слова и символы, которые ничего не значат. Вследствие этого, по этому электронному адресу невозможно идентифицировать человека.

Некоторые email адреса, такие как «support@..» или «help@..», также не считаются ПДн, поскольку пользоваться этими адресами могут сразу несколько человек. Если же в электронной почте указаны Ф.И.О. и дата рождения, то в таком случае электронный адрес попадает под категорию персональных данных.
Логин и пароль, в свою очередь, также не попадают под эту категорию, в независимости от того, какая информация указывается в графе логина или пароля.

Страницы в социальных сетях в этом случае имеют определенные сложности, так как многие люди, несмотря на то, что они выставляют свои фотографии, подписываются под другими, зачастую выдуманными, именами.

Фотографии и видеозаписи считаются персональными данными только в том случае, если по ним возможно идентифицировать человека. Исключением являются фото и видеозаписи, сделанные на массовых и публичных мероприятиях, на что указывает пункт 1 статьи 152 Гражданского Кодекса Российской Федерации.

Защитой, хранением и обработкой персональных данных занимается определенный круг лиц.

Например: государственные и муниципальные службы, начальник, специалисты отдела кадра и т.д. Следует быть предельно внимательным, вручая свои персональные данные тем или иным людям и уделить достаточное время этому пункту в договорах, перед тем как поставить подпись.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya

Что такое общедоступные персональные данные и какие виды информации к этому относятся?

Личные сведения гражданин предоставляет чуть ли не ежедневно многим операторам персональных данных. Это может быть работодатель, банки, лечебное учреждение, интернет-ресурсы и т.д. По закону операторы обязаны обеспечивать защиту конфиденциальной информации.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и другие. Но одна из четырех категорий персональных данных является общедоступной. Доступ к ней имеет неограниченный круг лиц.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

К общедуступным данным есть свободный доступ при наличии письменного разрешения субъекта. Сюда также могут входить такие сведения о субъекте, конфиденциальность которых не предусматривается законом.

Субъект – это физическое лицо, информацию о котором собирает, хранит, обрабатывает и с какой-либо целью использует оператор (юридическое или физическое лицо, муниципальный или государственный орган).

Какие виды информации ими являются?

Список личных сведений общедоступного характера включает в себя:

• фамилию, имя и отчество субъекта;
• сведения, полученные из удостоверения личности (паспорта);
• место и дата рождения;
• адрес регистрации и фактического проживания;
• образование;
• контактная информация;
• ИНН;
• профессиональная деятельность и места трудоустройства;
• доходы и т.д.

Особенности

Не во всех случаях возникает необходимость в письменном разрешении на их использование, иногда достаточно подписи или «галочки», поставленной в нужной графе (например, при заполнении заявлений через интернет).

Сведения общего характера могут быть помещены в источники с свободным доступом. В них хранится информация о субъектах, к их числу относят разнообразные справочники с телефонными номерами или адресами.

Согласно «Перечня сведений конфиденциального характера» те из них, что подлежат распространению в средствах массовой информации, не являются конфиденциальными.

Обработкой занимаются специальные подразделения или органы, которые собирают, систематизируют, хранят, используют, а также уничтожают сведения. Контроль за законностью использования персональных данных осуществляют Роскомнадзор, ФСБ и ФСТЭК (подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан, читайте тут).

ФСТЭК — федеральная служба по техническому и экспортному контролю выдает лицензии организациям, оказывающим услуги другим лицам по созданию систем защиты персональных данных. Система защиты данных создается для своих нужд, лицензия на нее не требуется.

Физическое лицо вправе получить сведения об операторе, а также узнать конкретную цель, преследуемую оператором при обработке.

Субъект имеет полное право подавать заявку, одобрение которой позволяет уточнить, блокировать или уничтожить личные сведения в том случае, если они устарели, недействительны, неполные или их наличие не является обязательным при обработке.

Помимо всего прочего, физическое лицо вправе запросить у оператора доступ к своей личной информации, а также ознакомиться со средствами обработки сведений. Операторы – это специалисты, занимающиеся обработкой информации о человеке.

Подробнее о том, в каких случаях необходим договор на обработку персональных данных, читайте тут.

В каком случае они включаются в открытые источники?

Включение информации в общедоступные источники происходит в различных ситуациях, например:

• при трудоустройстве и заключении трудового договора;
• в процессе переписи населения;
• установлении торговых отношений и т.д.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите.

Операторы обязаны организовать безопасность процесса работы. Они должны обеспечивать полную защиту личной информации субъектов от доступа к ней посторонних лиц.

В процессе сбора оператор обязан взять письменное разрешение на дальнейшую обработку. В письменное согласие на обработку включается информация о субъекте и об операторе (ФИО, адрес), цель обработки и перечень необходимых сведений, а также описание операций, которые будут производиться с ними.

Гражданин, как владелец персональной информации о самом себе, может отозвать ранее подписанное разрешение на ее обработку. Если субъект недееспособен или в случае его смерти, согласие запрашивается у законных представителей или наследников. В основе действий оператора лежит Федеральный закон «О персональных данных».

Любая информация о физическом лице — субъекте персональных данных может быть исключена из общедоступных источников на основании требования субъекта, Роскомнадзора, решения суда или других государственных органов.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obshhedostupnye.html

Как соблюсти требования 152-ФЗ, защитить персональные данные своих клиентов и не наступить на наши грабли

По российским законам любая компания, работающая с личными данными своих пользователей в России, становится оператором ПДн, хочет она того или нет. Это накладывает на нее ряд формальных и процедурных обязательств, которые не каждый бизнес может или хочет нести самостоятельно.

Как показывает практика – совершенно правильно не хочет, потому что эта область знаний еще настолько новая и не обкатанная на практике, что сложности и вопросы возникают даже у профессионалов. Сегодня мы расскажем о том, как реализовывали проект под хранение персональных данных для нашего заказчика и с какими неочевидными сложностями столкнулись.

Как мы помогали защитить данные по 152-ФЗ

В начале 2019 года к нам обратилась компания ООО «Смарт-Сервис», разработчик платформы для управления сервисным обслуживанием HubEx и приложения для обмена контактами myQRcards.

Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин. Второе – онлайн-конструктор для создания электронных визитных карточек на базе QR-кодов.

Обе системы хранят и обрабатывают данные пользователей, подпадающие под классификацию «персональных» в соответствии с 152-ФЗ. В этом случае закон диктует ряд ограничений к системам хранения таких персональных данных для того, чтобы обеспечить требуемый уровень их защищенности и исключить риск несанкционированного доступа с целью хищения или неправомерного использования.

Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

КАК УСТРОЕНО ЗАЩИЩЕННОЕ ОБЛАКО

Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:

• доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
• серверы хранения и обработки данных должны находиться под постоянным мониторингом антивирусной защитой на отсутствие уязвимостей;
• СХД должен быть расположен в изолированных сетях.

Мы размещаем серверные мощности заказчика в отдельных зонах, удовлетворяющих требованиям 152-ФЗ, и помогаем получить заключение о соответствии.

Ход работ

Первично согласование работ было произведено в июне 2019 года, что можно считать датой начала проекта. Все работы должны быть производиться на «живом» окружении с тысячами запросов в день. Естественно, требовалось выполнить проект, не прерывая штатный режим работы обеих систем.

Поэтому был составлен и согласован четкий план действий, разделенный на 4 этапа:

• подготовка,
• миграция,
• тестирование и проверка в реальных условиях,
• включение систем мониторинга и ограничения доступа.

На всякий случай мы предусмотрели процедуру восстановления в случае непредвиденной ситуации (DRP). По первоначальному плану работы не занимали много времени и ресурсов и должны были завершиться в июле 2019. Каждый из этапов предусматривал в конце полное тестирование сетевой доступности и функциональности систем.

Самым сложным этапом, в котором могло «что-то пойти не так», была миграция. Изначально мы планировали проводить миграцию путем переноса виртуальных машин целиком. Это был самый логичный вариант, поскольку он не требовал вовлечения дополнительных ресурсов для переконфигурирования. Казалось бы, что может быть проще vMotion.

Нежданно-негаданно

Однако, как обычно бывает на проектах в относительно новой области, случилось то, чего не ждали.

Поскольку каждая виртуальная машина занимает 500 — 1 000 ГБ, копирование таких объемов даже в рамках одного дата-центра заняло около 3-4 часов на каждую машину. Как итог, мы не уложились в отведенное временное окно. Это произошло по причине физических ограничений дисковой подсистемы при переносе данных в vCloud.

Баг используемой версии vCloud не позволил организовать Storage vMotion в отношении виртуальной машины с разными типами дисков, поэтому диски пришлось менять. В результате перенести виртуальные машины получилось, но это заняло больше времени, чем планировалось.

Второй момент, который мы не предусмотрели, — ограничения по перемещению кластера БД (Failover Cluster MS SQLServer). В результате пришлось перевести кластер в работу с одним узлом и оставить его за рамками защищенной зоны.

Примечательно: по до сих пор непонятной причине в результате переноса виртуальных машин рассыпался кластер приложений, и его пришлось собирать заново.

В результате первой попытки мы получили неудовлетворительное состояние систем и вынуждены были заново браться за планирование и проработку вариантов.

Попытка №2

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

Результативный исход и полезный урок

В итоге, совместными усилиями вместе с заказчиком удалось внести значительные изменения в существующую серверную инфраструктуру, что позволило повысить надежность и защищенность хранения ПДн, существенно снизить риски несанкционированного доступа к ним, получить аттестат выполнения требований к хранению — достижение, к которому пришли еще далеко не все разработчики аналогичного ПО.

В сухом остатке комплекс работ по проекту выглядел так:

1. Организована выделенная подсеть;
2. Суммарно мигрировано два кластера, состоящих из пяти виртуальных машин: Failover кластер баз данных (две виртуальные машины), Service Fabric кластер приложений (три виртуальные машины);
3. Произведены настройки систем защиты и шифрования данных.

Выглядит вроде бы все понятно и логично. На практике же все оказывается немного сложнее. Мы еще раз убедились, что при работе с каждой отдельной задачей такого плана требуется высочайший уровень внимания к «мелочам», которые на поверку оказываются никакими не мелочами, а определяющими факторами успеха всего проекта.

Источник: http://habr.com/post/480086/

Составление запрета на обработку персональных данных: пошаговая инструкция и перечень необходимых документов

Комплекс законодательства, регулирующий работу юридических и физических лиц с персональными данными, предусматривает добровольное согласие субъекта ПДн на все манипуляции и оставляет за ним право в любой момент отозвать саму информацию, согласие на ее обработку или на конкретные действия.

Это касается как зарегистрированных операторов персональных данных, так и предприятий, не подлежащих регистрации в Роскомнадзоре, но нуждающихся в обработке персональных данных сотрудников, клиентов и прочих. Как правильно воспользоваться законным правом на конфиденциальность ПДн?

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Как составить обращение в компанию?

Отзыв персональных данных производится в письменной форме. Это обращение к организации, которой было дано право на обработку вашей личной информации (банку, работодателю, коммерческой структуре в рамках рекламной акции или программы скидок). Заявитель может отозвать разрешение полностью, или изменить перечень данных и манипуляций с ними, на которые он дает согласие.

Согласно ч.5 ст. 21 Федерального закона «О персональных данных», получив подобное обращение, компания обязана в течение месяца прекратить обработку данных и уничтожить информацию, если ее дальнейшее сохранение не требуется, прямо запрещается субъектом и не оговорено договором, стороной которого остается заявитель.

Кроме случаев исполнения законодательства, международных соглашений и договоров с самим субъектом, к ним относятся исполнительное производство и судебные процессы. Также не будет прекращена работа с обезличенной статистической информацией и, данными, предоставленными гражданами при регистрации на порталах госуслуг. Закон отдельно защищает права организаций на работу со сведениями о заемщиках.

Как отозвать своё согласие и какие документы потребуются?

Документы, сопровождающие процедуру отзыва персональных данных и введения запрета их обработки, во многом схожи. Основные отличия лежат в области формулировок в заявлении, и в том, откуда вы отзываете свое прежнее согласие. Чаще всего такая потребность возникает в отношениях с банками и торговыми компаниями, поэтому возьмем примерный перечень документов для обращения именно к ним.

Чтобы отозвать согласие на обработку ПДн у банка и торговой компании, понадобятся:

• личное заявление в двух экземплярах;
• копия договора с компанией-оператором;
• копия паспорта.

Пошаговая инструкция, как оформить запрос

Типовой формы заявлений частных лиц об их согласии на обработку личной информации и отказе от этого согласия не существует. Заявитель не обязан указывать причины отзыва, но может это сделать, например, ссылаясь на прекращение действия кредитного или иного договора.

В обращении обязательно должны присутствовать:

1. «Шапка» – в правом верхнем углу указываются адресат и адресант заявления. Например, управляющему банка «Икс» Иванову И.И. от Попова В.В., адрес прописки, номер договора.
2. Информация о заявителе – ФИО полностью, паспортные данные, в том числе, когда и кем выдан, адрес регистрации.
3. Суть обращения – согласно закону «О персональных данных», отзываю свое согласие на их обработку, данное банку «ИКС» при заключении договора №11111 от 1.01.2018 года. Прошу прекратить обработку моих данных в установленные законом сроки.
4. Адрес для ответа – если желаете получить ответ организации не на адрес, указанный в заявлении, а, например, по электронной почте или другим способом, укажите их. Письменный ответ на заявление является подтверждением, что информация не будет использоваться, и будет удалена в положенные сроки.
5. Приложения – перечень приложенных копий документов.
6. Дата и подпись.

• Скачать бланк заявления о запрете использования персональных данных
• Скачать образец заявления о запрете использования персональных данных

Хранение информации о договоре, финансовых операциях по нему и прочие данные, часть которых можно отнести к личным данным субъекта, подпадает под фискальное и прочее законодательство, регламентирующее хранение подобной информации.

Как добиться запрета на использование личной информации?

Структура заявления на запрет обработки данных схожа с приведенной выше. Кроме полного запрета на обработку, что фактически дублирует отзыв ранее данного согласия, заявитель может запретить:

• один из способов обработки – автоматизированный или неавтоматизированный;
• отдельные действия, например, передачу третьим лицам;
• обработку части предоставленных персональных данных (сведений о месте работы, контактную информацию родственников и подобное).

Согласно вашим целям, напишите заявление по образцу, дополнив графу «Суть обращения» нужной формулировкой, например:

• «отзываю свое согласие на обработку предоставленной информации о месте работы и рабочих телефонах, служебной почте, адресах проживания, стационарных и мобильных телефонах родственников и членов семьи»;
• «отзываю разрешение на передачу моих персональных данных третьим лицам и прошу обеспечить прекращение обработки моих персональных данных третьими лицами, согласно ст. 21 Федерального закона «О персональных данных».

Письмо коллекторам с требованием о прекращении использования сведений

Коллекторы могут оказывать услуги банку по работе с заемщиками, и тогда заявление на отзыв персональных данных подается непосредственно оператору, а коллекторам может быть направлена копия. Это обязывает обе организации сократить обработку данных до установленного законом уровня.

1. «Шапка» – шаблонное обращение на имя первого руководителя, с указанием ФИО и контактных данных заявителя. Здесь же указываются получатели копий, если таковые имеются.
2. Информация о заявителе – ФИО, контактные данные или иная информация.
3. Правовое обоснование – закон «О персональных данных», в частности его ст.6, 9, 21, которые регламентируют добровольную дачу согласия субъектом, право на отзыв и обязанность оператора, аффилированных с ним структур, и третьих лиц, которым информация была передана, не использовать отозванные данные.

Если коллекторы нарушают другие нормы, например, не подтвердили свою правомочность в получении задолженности, прибегают к угрозам, разглашают банковскую и налоговую тайну, и прочее, сошлитесь на соответствующие законодательные акты.

Перечень данных, которые запрещено обрабатывать – например, номера мобильного, стационарного и служебного телефона, контактная информация третьих лиц, упомянутых в кредитном договоре, информация о рабочем месте.

Способ связи – укажите приемлемый для вас способ контактов – по электронной или обычной почте, отдельному телефону или через вашего юриста, чьи контакты прилагаются.

Разрешение споров – в судебном порядке согласно законодательству РФ.

Обращение о прекращении обработки данных – с момента получения заявления в установленные законом сроки.

Подпись, дата.

• Скачать бланк письма коллекторам с требованием прекращения использования персональных данных
• Скачать образец письма коллекторам с требованием прекращения использования персональных данных

Права кредитора на использование сведений о должнике прописаны в законе, и полностью изъять информацию нельзя, но можно оставить доступным минимум, удовлетворяющий целям обработки. В случае несоблюдения операторами требований по отзыву согласия на обработку персональных данных, субъект имеет право обратиться Роскомнадзор и в правоохранительные органы.

Отзыв персональных данных и запрет их использования – законное право гражданина, желающего избавиться от навязчивой рекламы, избежать излишнего распространения сведений о себе и близких, окончательно разорвать связи с бывшим работодателем, поставщиком услуг и прочими.

Но не следует рассматривать отзыв как панацею для недобросовестных заемщиков. Возможно, он поможет снизить коллекторскую активность, но до погашения кредита и завершения исполнений обязательств по договору, банк не забудет ни о вас, ни о ваших персональных данных.

Полезное видео

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/otozvat-pd.html

Закрытые персональные данные

Если сайтом владеет юридическое лицо, закон предъявляет определенные требования к уровню защиты ПДн: вам нужно определить категорию, назначить ответственных, получить разрешения у контролирующих органов и зарегистрироваться в качестве оператора персональных данных.

Также вам необходимо будет обеспечить информационную защиту персональных данных при помощи фаерволов и антивирусных программ. Также вы можете обратиться в специальные дата-центры или заказать защищенное хранение данных в облаке или у специализированных провайдеров.

Набор конкретных мер зависит от необходимого уровня защищенности. Если вы не передаете результаты медицинских анализов и биометрические данные, то скорее всего ваш уровень защищенности — УЗ-3 или ниже. Таблица требований по обеспечению мер безопасности в соответствии с уровнем защищенности приведены в Приказе ФСТЭК России № 21 от 18.02.2013 г.

Дополнительные материалы по теме

• Пояснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
• Ответы на вопросы об обработке персональных данных от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
• Бланк Согласия на обработку персональных данных.
• Бланки уведомлений, электронные формы заявлений и примеры заполненных образцов от Роскомнадзора.
• Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Нарушения и штрафы

Ответственность за нарушения закона несет оператор персональных данных, определение которого дано в 152-ФЗ:

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;»

Санкции за нарушение закона о персональных данных указаны в статье 13.11 КоАП РФ

Статья 13.11 КоАП ч. 1

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

Статья 13.11 КоАП ч. 2

Статья 13.11 КоАП ч. 3

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Статья 13.11 КоАП ч. 4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Статья 13.11 КоАП ч. 5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Статья 13.11 КоАП ч. 6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Статья 13.11 КоАП ч. 7

Сравнение с GDPR

GDPR (General Data Protection Regulation, Генеральный регламент о защите персональных данных) — постановление Европейского союза, которое усиливает и унифицирует защиту персональных данных всех лиц в Европейском союзе. Вступил в силу 25 мая 2018 года.

Цель GDPR — дать гражданам контроль над их персональными данными и упростить нормативную базу для международных экономических отношений. Постановление также устанавливает ограничительные и контролирующие меры на трансграничную передачу данных.

GDPR актуален для тех, кто работает на территории Европейского союза или вступает в отношения с гражданами ЕС. То есть, если ваш интернет-магазин продает что-либо гражданам ЕС, то вы также подпадаете под действие данного нормативного акта. Кроме того, GDPR регулирует мониторинг онлайн-активности граждан ЕС, то есть, если вы собираете cookies пользователей из ЕС, вы попадаете под действие GDPR.

Основное отличие 152-ФЗ — в том, что GDPR распространяется не на все российские компании, а лишь на те, которые работают с гражданами ЕС. Второй важный момент: GDPR разрешает перенос персональных данных между компаниями по запросу пользователя. Третье отличие: в случае утечки данных оператор должен уведомить контролирующие органы в течение 72 часов, а затем и субъектов персональных данных, чьи интересы могут быть затронуты.

Соблюдение правил работы с персональными данными — насущная необходимость для каждого владельца сайтов. Причем в первую очередь нужно соблюсти требования Роскомнадзора, поскольку он проводит тысячи проверок в год. Как минимум владельцы сайта должны размещать уведомление о сборе данных, получать на него согласие и давать пользователям всю необходимую информацию в соответствующем документе.

Если владелец сайта — юридическое лицо, ситуация осложняется, поскольку необходимо подготовить пакет документов и соблюсти ряд процедур. Документы можно подготовить самостоятельно, с помощью юриста, системного интегратора или автоматизированных сервисов. Это может потребовать дополнительных расходов, однако несоблюдение правил обойдется значительно дороже. При этом выполнить требования закона нужно будет всего один раз.

Источник: http://www.uplab.ru/blog/processing-and-protection-of-personal-data/