Являются ли паспортные данные конфиденциальной информацией

Содержание

Что входит в понятие персональных данных

Являются ли паспортные данные конфиденциальной информацией

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах.

Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие.

Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г.

Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо.

Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции.

Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту.

Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами.

Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам.

Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения.

Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута.

Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения.

В ином случае, грозит ответственность за разглашение персональных данных работника

Нормам ФЗ № 152 должны следовать все юридические и частные лица.

Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.

14 ТК РФ раскрывает понятие персональных данных работника.

Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества.

Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье

  • ФИО;
  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • ИНН;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными.

Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД.

Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д.

Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

https://www.youtube.com/watch?v=1o8rZSEbjl4

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д.

Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком.

Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;
  • СМИ.

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data.

Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Источник: https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Кто сливает конфиденциальные данные вашей компании. Результаты исследования | Rusbase

Новости об утечках конфиденциальной информации – будь то массовое обнародование почтовых паролей пользователей или слив внутренних документов компаний – уже давно не редкость для медиапространства.

Согласно последнему исследованию Infowatch, число утечек конфиденциальных данных в России выросло за последний год на 80%, были скомпрометированы более 120 млн документов. Эти цифры становятся еще более внушительными, если учитывать, что доля всех российских утечек составляет лишь 4% по сравнению с общемировыми.

Так или иначе, со «сливами» сталкиваются практически все значимые сферы бизнеса.

Читайте также  С какого возраста наступает полная уголовная ответственность

По данным того же исследования, от внутренних и внешних атак, в результате которых была утеряна конфиденциальная информация, в 2016 году больше всего пострадали организации высокотехнологичного сектора, образовательные учреждения, банки, не говоря уже о государственных органах.

Парадоксально, но от утечек не защищены даже те корпорации, у которых, казалось бы, информационная безопасность должна стоять на первом месте.

Чего стоит, например, недавний кейс, в центре которого оказался .

Так, издание The Guardian получило доступ ко внутренним правилам социальной сети, в которых описывалась сложная – подчас для самих сотрудников мирового гиганта – политика модерирования записей. А если уж и детище Цукерберга не застраховано от утечек, что говорить о не таких глобальных компаниях и тем более о рядовых пользователях.

Именно персональные данные оказывались наиболее привлекательными для злоумышленников в прошлом году.

Пароли от аккаунтов, идентификационные номера транспортных средств, те же паспортные данные, по незнанию часто пересылаемые через социальные сети, – все это слишком лакомые кусочки для тех, кто перешел на темную сторону.

Масштабы утечек, связанных с коммерческой тайной, тоже поражают.

Их доля в нашей стране более чем в два раза выше, чем по мировой статистике – и почти в 4 раза чаще, чем в мировой практике, виновником этой утечки оказывается кто-то из руководства компании.

Кто это делает?

Причем становится еще обиднее за отечество, когда понимаешь, что конфиденциальные документы «сливают» в большинстве случаев свои же люди.

В России больше 65% утечек приходится на рядового системного пользователя, еще около 8% – на руководителей.

И если в мире виновником утечки более чем в половине случаев становится внешний злоумышленник, то у нас доля атак извне лишь немногим превышает 20%.

Однако нельзя сказать, что в каждой компании, столкнувшейся с утечкой конфиденциальной информации, работают сплошь пригретые на груди змеи.

Порой сотрудник даже не подозревает, что, к примеру, пользуясь личной почтой вместо корпоративной, он ставит под угрозу сохранность документов.

Или просто теряет его, выкидывает бумажную версию вместе с мусором.

Но и так называемые квалифицированные утечки, когда злоумышленник впоследствии все-таки использует нелегально полученную им информацию, увы, для нашей страны совсем не редкость.

Как можно бороться?

Становится очевидным, что выжить бизнесу без финансовых и репутационных потерь, вызванных уязвимостью их информационных систем, практически невозможно.

Но ведь на любое действие найдется и противодействие.

И системы, которые призваны защитить компании от утечек конфиденциальной информации, тоже уже не являются редкостью.

Системы Data Leak Prevention (DLP) – сегодня одно из самых распространенных решений в этой области.

Принцип работы DLP состоит в том, что ПО создает защищенный цифровой «периметр» компании, в рамках которого анализирует всю исходящую, а иногда и входящую информацию.

В решениях класса DLP есть встроенные механизмы, которые определяют степень конфиденциальности каждого документа.

Если сильно упрощать, система понимает, кому можно и кому нельзя посылать тот или иной документ.

При любой попытке отправить конфиденциальный файл, например, по электронной почте внешнему получателю, система заблокирует пересылку и сообщит об этом службе безопасности.

Конечно, злоумышленники пытаются обходить принципы работы DLP.

Используют шифрование или меняют в документах раскладки: кириллические «а» или «с» превращают в латинские и пр.

Но современные версии защитных ПО способны, выражаясь метафорически, находить и такие иголки в стоге сена.

Кроме того, DLP охватывают максимальное количество каналов, по которым может произойти утечка, ведь важно контролировать не только электронную почту и веб, но и файловые операции – например, попытки загрузить документ на внешний диск. Подавляющее большинство подобных программ нацелены на активную защиту конфиденциальной информации. Это значит, что DLP-системы не только распознают попытку «слить» файл, но и блокируют её.

А если бумага?

И всё бы замечательно, но есть одно «но». Data Leak Prevention нацелены на защиту цифровой информации. Что же остается делать с бумажными документами, о которых я уже упоминал?

Контролировать распечатку документов очень просто – можно фиксировать все случаи распечатки, можно даже разрешить распечатку только через службу безопасности.

Но как контролировать перемещения бумажной копии? Обиженный сотрудник кладет его в сумку, выносит из офиса и дальше может делать все, что захочет.

Такие утечки составляют в России примерно четверть всех случаев.

К счастью, в настоящий момент технологии защиты добрались до аналоговых носителей тоже, к которым причисляют и бумагу.

На рынке существуют решения, которые способны засекать и предотвращать утечки с бумажных носителей.

Общий их принцип заключается в том, что каждый сотрудник, работающий с документом в системе электронного документооборота, получает индивидуальную копию, которая визуально ничем не отличается от оригинала (в ней, например, может быть изменен межбуквенный интервал или наклон кегля). Одновременно система запоминает время выдачи такой копии, ее основные параметры и данные сотрудника.

Если кто-то захочет нелегально распространяет документ, программное обеспечение без проблем определит злоумышленника.

Работает это следующим образом: документ рано или поздно «всплывает» – публикуется в СМИ или начинает ходить по рынку.

Получив его копию, служба безопасности прогоняет ее через систему и по микроскопическим отличиям выявляет виновника.

Даже если тот «сливает» фрагмент документа или помятую копию, система все равно точно знает, кто стоит за распечаткой.

Возможна ли профилактика против утечек?

Ни одна система не дает 100% защиты от утечки информации. При очень сильном желании злоумышленник, проникший в организацию, всегда найдет способ обхода.

Но подавляющее большинство утечек происходит либо от неграмотности, либо на авось – «ну отправлю документ, ну что мне будет».

Если сотрудники знают, что существует система отслеживания, инциденты чудесным образом прекращаются.

Образование сотрудников, создание комплексных систем безопасности и проведение их стресс-тестирования – хорошая прививка от информационных потерь.

Когда же речь идет об умышленном вредительстве, промышленном шпионаже, подключается уже тяжелая артиллерия в виде DLP-систем, программ защиты бумажных документов и решений для анализа поведения пользователей.

Материалы по теме:

Россия вошла в топ-10 стран по уровню кибербезопасности в рейтинге ООН

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Источник: https://rb.ru/opinion/kto-slivaet-dannye/

Налоговая конфиденциальность

Под налоговой конфиденциальностью понимается обстоятельство, по которому представители налоговых органов не имеют права предоставлять сведения о финансовом состоянии или статусе плательщика сторонним лицам за исключением случая распоряжения суда. Понятие «налоговая конфиденциальность» тесно связано с другим – «налоговая тайна».

Конфиденциальность плательщика охраняется Налоговым кодексом (ст. 102), начиная с 1999 года.

Важное условие: конфиденциальность не зависит от статуса плательщика – в равной степени защищаются сведения как о физических лицах, так и об индивидуальных предпринимателях и предприятиях.

Кому выгодна налоговая конфиденциальность?

Режим конфиденциальности на руку плательщикам.

Во время проверок физические лица предоставляют сведения о собственном уровне дохода и материальном положении – такая информация не может быть распространена.

Для предприятий налоговая конфиденциальность еще важнее – разглашение сведений способно лишить их конкурентных преимуществ в борьбе за долю рынка.

В то же время конфиденциальность является проблемой для тех физических лиц, которые собираются вступить в отношения с организацией, так как лишает их возможности собрать информацию для глубокого анализа. Особенно это актуально для финансовых организаций – паевых фондов и банков.

Что считается налоговой тайной?

Налоговый кодекс не говорит прямо, какая информация является секретной, а какая – нет, однако, конкретные сведения можно найти в других нормативных документах. Скажем, письмо Минфина №03-02-08/41 позволяет считать конфиденциальными следующие данные:

  • первичной бухгалтерской документации фирмы.
  • Сведения о декларируемых доходах и расходах.
  • Сведения об имущественном положении.
  • Информация о начисленных акционерам дивидендах.
  • Производственные ноу-хау.

Какие данные не конфиденциальны?

Согласно другой точке зрения, конфиденциальными считаются все данные, получаемые налоговыми органами, которые не относятся к перечню не защищаемых налоговой тайной сведений. Такие сведения статья 102 НК перечисляет – к ним относятся:

  • Общедоступная информация. Это сведения, перечисленные в ФЗ №152 «О персональных данных». К общедоступным сведениям для физических лиц относятся ФИО, номер телефона, профессия, для юридических – полное наименование, адрес, ФИО руководителя. Также общедоступной считается информация, на распространение которой плательщик сам дал согласие – например, банковские реквизиты.
  • ИНН. Налоговый номер можно узнать, если на руках паспортные данные плательщика или полное название фирмы.
  • Результат налоговой проверки. Эта информация не является тайной, только если проверялся кандидат в выборный орган федерального или муниципального уровня, а запрашивают информацию члены избирательной комиссии.
  • Режим налогообложения. Таким режимом может быть не только ЕНВД или УСН, но и, например, единый сельский налог, актуальный только для производителей сельскохозяйственной продукции.
  • Данные для иностранных органов. Между государствами может быть заключено соглашение, согласно которому одно из них предоставляет определенный вид налоговых сведений другому. Такое соглашение сильнее внутренних документов.
Читайте также  Должен ли пенсионер платить налог на землю

Ответственность за нарушение конфиденциальности

Та же статья 102 НК предусматривает два режима нарушения конфиденциальности данных:

  • Намеренное разглашение должностным лицом.
  • Утрата документа по халатности.

От режима зависит характер наказания. Для того чтобы наказание наступило, должны быть соблюдены три следующих условия:

  • Плательщику нанесен прямой ущерб.
  • Имело место противоправное поведение ответственного работника налоговых органов (например, работник не принял обязательных мер по сокрытию сведений).
  • Существует причинно-следственная связь между действиями сотрудника и ущербом, нанесенным плательщику.

Ответственность, наступающая за нарушение конфиденциальности, может быть одного из трех видов:

  • Материальная. Согласно Гражданскому Кодексу ущерб, нанесенный плательщику, компенсируется из казны (статья 1069).
  • Административная. Платит штраф сам виновник – сумма составляет от 4 до 5 тысяч рублей.
  • Уголовная – виновник может быть осужден на 3 года лишения свободы. Если плательщику причинен особо крупный ущерб, срок увеличивается до 5 лет, согласно статье 183 Уголовного Кодекса.

Источник: https://utmagazine.ru/posts/12074-nalogovaya-konfidencialnost

Разглашение конфиденциальной информации и персональных данных

24.11.2017

Существуют определённые виды сведений, несанкционированный доступ к которым запрещён в соответствии с положениями российского законодательства.

Ответственность за разглашение информации подобного рода предусмотрена положениями гражданского, административного или уголовного кодексов.

Перечень сведений, охраняемых законом РФ от свободного доступа, содержится в соответствующих нормативных актах.

Что такое конфиденциальные сведения?

Исчерпывающее определение термину «конфиденциальные сведения» даёт ФЗ «О защите информации», принятый в 2006 г.

Согласно этому законодательному акт, любые информационные данные, касающиеся простых граждан, организаций или государства подразделяются на общедоступные, и сведения, доступ к которым ограничен или полностью закрыт.

Свободный доступ к любым информационным сведениям ограничивается или полностью запрещается только на основании федерального законодательства. Попытка несанкционированного сокрытия прочей информации от широкой общественности преследуется по закону.

К закрытой, или секретной, информации относят все сведения, особо важные для безопасности государства. Они составляют государственную или военную тайну: это документы и сведения стратегического значения.

Ответственность за разглашение информации, имеющей статус гос.тайны, установлена Уголовным кодексом.

Подобные преступления относятся к разряду тяжких и особо тяжких, и наказываются реальными сроками заключения, вплоть до высшей меры.

Ограниченно закрытая информация называется конфиденциальной.

Она не подлежит публичному разглашению, и доступ к ней имеют только соответствующие правоохранительные и надзорные органы в случаях, прописанных законом. Конфиденциальной считается любая информация, содержащая следующие сведения:

  • О деталях следствия, судебного производства.
  • О личной жизни и персональных данных человека.
  • Личная переписка и телефонные разговоры гражданина.
  • Сведения, являющиеся коммерческой тайной как юридического лица, так и физ.лица. Статус коммерческой тайны определяется законом, или положениями нормативных актов предприятия.
  • Сведения, не подлежащие разглашению, доверяемые населением или организациями работникам ряда специальностей – врачам, адвокатам, сотрудникам правоохранительных органов.

Что такое разглашение информации?

Каждый человек или организация имеют право, а в ряде случаев просто обязаны, предпринять все доступные меры к охране конфиденциальной информации.

К примеру, организация может потребовать удовлетворения иска относительно разглашения секретных данных только в том случае, если её руководством были приняты все разумные меры к её сохранности.

К таким мерам относятся:

  • Хранить документацию, содержащую конфиденциальные данные в закрытых помещениях с ограниченным доступом или в сейфах.
  • Электронные данные должны защищаться паролями или электронными ключами доступа.
  • Все подобные документы должны быть промаркированы грифами «секретно», «только для внутреннего пользования». Это как к печатной, так и к электронной документации.
  • В трудовом договоре, заключаемом с сотрудниками организации, должен быть прописан отдельный пункт о сохранении корпоративной тайны.
  • Внутренним приказом должен быть определён круг работников, которым разрешён доступ к закрытой информации и несущих ответственность за сохранность тайны.

Разглашение конфиденциальной информации и персональных данных подразумевает преступные действия, или же бездействие определённого лица, имеющего к ним доступ, в результате чего закрытая информация попала в распоряжение третьих лиц без разрешения на то её правообладателя. В качестве примера разглашения закрытых данных можно привести:

  • Единовременная передача сотрудником коммерческой информации компании-конкуренту за определённое вознаграждение.
  • Предоставление доступа к закрытым данным злоумышленникам. При этом доступ может быть предоставлен как умышленно, из корыстных побуждений, так и нечаянно, в результате халатного отношения работником к своим обязанностям.
  • «Излишняя болтливость» работника, в результате чего секретные данные становятся известны окружающим.
  • Регулярное тайное хищение закрытых сведений с целью их продажи и получения иных выгод. Сюда относится такое преступление, как «промышленный шпионаж», который может квалифицироваться как уголовное деяние.

Наказание за разглашение закрытой информации

В случае несанкционированного разглашения закрытых данных пострадавшее лицо вправе обратиться за защитой в правоохранительные или судебные органы. При этом заявитель должен будет доказать в судебном порядке наличие факта разглашения данных.

В качестве доказательной базы может выступать:

  • Факт пересылки сотрудником электронной документации третьим лицам. Зафиксировать это можно с помощью системных администраторов компании, отследив IP-адреса отправителя и получателя.
  • Свидетельские показания других работников компании.
  • Обнаружение у сотрудника копий конфиденциальных документов, сделанные им по собственной инициативе без соответствующего распоряжения начальства.
  • Записи камер видеонаблюдения, на которых работник без разрешения вынимает документы из хранилища, передаёт их кому-либо, снимает с них копию, фотографирует.
  • Косвенные признаки. Например, когда установлен явный факт утечки, в то время как доступ к информации имел только один человек.

Российское законодательство предусматривает за подобное преступное деяние целый комплекс различных наказаний, в зависимости от вида проступка и его последствий:

  • Дисциплинарное взыскание. Назначается нерадивому служащему в соответствии с решением руководства. Это может быть лишение премиальных выплат, выговор, замечание, а в крайнем случае – увольнение по статье КЗоТа. Постановление о наложении дисциплинарного взыскания должно быть оформлено законным образом в виде внутреннего приказа по организации.
  • Административное взыскание. Подобная ответственность может налагаться в случае разглашения конфиденциальных данных как личного, так и коммерческого характера. Под действие административного кодекса не подпадает только разглашение сведений, составляющих гос.тайну. Максимальное наказание, предусмотренное административным кодексом за подобное правонарушение – наложение штрафа до 10 000 руб.
  • Уголовное наказание. Под действие УК РФ может подпадать целый спектр деяний, связанных с разглашением секретной информации. Это может быть опубликование неких данных личного характера, промышленный шпионаж или же разглашение государственной тайны. В отличие от прочих правовых кодексов, подпадание правонарушения в сферу юрисдикции уголовного кодекса может означать наказание в виде реального тюремного срока.
  • Гражданская ответственность. Наступает в ряде случаев, как в виде самостоятельного наказания, так и в виде сопутствующего взыскания. Примером подобного взыскания может служить вынесение судебными органами решения о возмещении пострадавшему морального вреда.

Любой вид законного наказания может назначаться только в результате соответствующего судебного постановления.

То есть, для наложения на виновника разглашения взыскания, потребуется доказать, что в утечке данных виноват именно он.

Вообще, разглашение конфиденциальной информации и персональных данных, является преступленным деянием весьма сложного состава.

При рассмотрении и ведении подобных дел очень часто допускаются различные ошибки относительно правоприменения статей законодательства.

Ещё сложнее бывает пострадавшему защитить свои законные интересы.

В этом случае необходимо правильно определить состав преступления, правильно подготовить исковое заявление, собрать всю необходимую доказательную базу.

Всё это бывает крайне сложно произвести гражданину, далёкому от юридической практики. Лишь обратившись за помощью к квалифицированному специалисту, можно получить всю необходимую информацию по существу проблемы.

Также опытному юристу можно доверить вести своё дело в суде «под ключ», предоставив ему сбор всей необходимой документации и право представления в инстанциях. Подобный вариант не только позволит сберечь множество нервов, сил и времени, но также существенно увеличит шансы на благоприятный исход тяжбы.

Читайте также  Наказание за просроченный полис ОСАГО

Разглашение коммерческой тайны. Советы юриста

Источник: https://myjus.ru/criminal-law/otvetstvennost-za-razglashenie-konfidencialnoj-informacii/

10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение). У вас на сайте есть контактная форма? Значит, скорее всего это касается и вас.

Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.

11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля.

Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений.

Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Какузнать, являетесь ливытем самым операторомперсональныхданных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать.

При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д..

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется.

Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Какработатьсперсональнымиданными, ненарушаязакон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил.

10 правил по работе с персональными данными

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку*;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки;
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора — //pd.rkn.gov.ru/operators-registry/notification/form/

*Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор.

Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности.

Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Чтоделать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум)

1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных как, например, у «Озона» (//ozon.ru/context/detail/id/137942530/).

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.

Если стопроцентно  уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.

Похожее

Источник: https://press.spb.ru/10-pravil-rabotyi-s-personalnyimi-dannyimi/

Понравилась статья? Поделить с друзьями: