Что такое субъект пдн

Содержание

Субъект персональных данных – это кто такой? Форма согласия субъекта персональных данных

Что такое субъект пдн

Персональными данными называют любые сведения, относящиеся к конкретному или определяемому на их основании физлицу. К ним относят Ф. И. О.

, место, дату рождения, семейный, социальный, имущественный статус, адрес проживания, профессию, образование и пр. Субъект персональных данных – это, проще говоря, носитель такой информации.

В качестве источников сведений могут выступать паспорт, медицинская карта, финансовые ведомости и так далее.

Ограниченный доступ

Персональные данные без согласия субъекта не могут вноситься ни в какие документы и базы. С разрешения носителя информации в общедоступные источники могут включаться сведения о его Ф. И. О.

, адресе, месте, дате рождения, абонентском номере и пр. Действующим законодательством гарантируется защита прав субъектов персональных данных.

Лица, осуществляющие сбор и последующую работу с такими сведениями, за нарушение конфиденциальности сведений несут ответственность, вплоть до уголовной.

Операторы

Они осуществляют сбор и работу с информацией, относящейся к личности гражданина. Субъекты обработки персональных данных – муниципальные или госструктуры, физлица и организации.

Они не только осуществляют работу с информацией, но и определяют цели и содержание тех или иных операций с информацией.

При этом для совершения каких-либо действий оператор должен получить согласие субъекта персональных данных.

Доступ к личным сведениям

Одна из возможностей, которой наделен субъект персональных данных, – это получение информации об операторе. Носитель сведений может знать адрес нахождения, наличие соответствующих сведений у лица. Аналогичными возможностями обладает представитель субъекта персональных данных.

Полномочия этого лица должны подтверждаться документами, оформленными в соответствии с законодательными требованиями. Ознакомление со сведениями, которыми располагает оператор, – еще одна возможность, которой обладает субъект персональных данных. Это необходимо, в частности, для проверки достоверности сведений.

Эта возможность может быть ограничена только в случаях, прямо предусмотренных законодательством. Носитель информации может предъявить требование оператору о ее уточнении, блокировании или уничтожении.

Эта возможность реализуется в случаях, когда сведения являются устаревшими, неполными, незаконно полученными, недостоверными, не являются необходимыми для целей, заявленных оператором.

Субъект персональных данных – это главный участник операций с информацией о его личности. В соответствии с этим, он может предпринимать законные меры по обеспечению охраны сведений и предотвращению ущерба его личности, доброму имени, репутации.

Предоставление информации

Сведения о наличии данных у оператора должны передаваться субъекту в доступной форме. Не допускается включение в них личной информации других лиц.

Предоставление доступа к сведениям возможно по запросу субъекта-носителя данных или его поверенного.

Заявление должно содержать информацию об основном документе, подтверждающем личность гражданина, – номер, дату и место выдачи, наименование уполномоченной структуры. В запросе в обязательном порядке ставится подпись субъекта.

Если от его имени действует другое лицо, приводятся сведения о документе, подтверждающем полномочия. Подпись в заявлении в таком случае ставит представитель. Обращение может направляться в электронном виде. В этом случае заявление должно содержать цифровую подпись.

Перечень доступных сведений

Субъект вправе получить информацию, содержащую разные данные. К ним, в том числе, относят:

  1. Подтверждение факта работы с личными сведениями и ее цель.
  2. Методы обработки данных, используемые оператором.
  3. Сведения о работниках, имеющих доступ к информации, или которым он может быть предоставлен.
  4. Перечень сведений, с которыми осуществляется работа, источники их получения.
  5. Срок обработки и хранения имеющихся данных.
  6. Сведения о юридических последствиях работы с информацией.

Предписания законодательства

Как выше было сказано, право на доступ к личным данным может ограничиваться. Это происходит, если:

  1. Работа с информацией, полученной в рамках разведывательной, оперативно-розыскной, иной подобной деятельности производится для обороны страны, обеспечения ее безопасности и охраны порядка в обществе.
  2. Обработку данных осуществляют сотрудники, задержавшие субъекта по подозрению в преступлении, или предъявившие ему обвинение, или применившие к нему одну из существующих мер пресечения. Исключение составляют случаи, закрепленные УПК.
  3. Предоставление информации нарушит конституционные свободы и права третьих лиц.

Сбор информации

Законодательство может предусматривать обязанность субъекта предоставить свои данные для обработки. В таких случаях оператор должен разъяснить лицу последствия отказа от выполнения предписаний.

Если информация была получена не от носителя, кроме случаев, когда она была предоставлена на основании ФЗ, или если она является общедоступной, лицо, осуществляющее сбор сведений, должно предоставить следующие данные субъекту:

  1. Наименование оператора и его адрес (для физлиц – Ф. И. О.).
  2. Цель работы с информацией, юридическое основание.
  3. Потенциальные пользователи сведений.
  4. Права субъекта, установленные законодательством.

Меры безопасности

Оператор обязан использовать все доступные и допустимые средства, которыми обеспечивается защита прав субъекта персональных данных. В частности, он должен применять криптографические приемы, предотвращающие случайный либо незаконный доступ к сведениям, их уничтожение, блокирование, изменение, распространение и копирование.

Требования к безопасности данных при их обработке, к материальным носителям, технологиям хранения устанавливаются Правительством. Надзор за исполнением предписаний возлагается на исполнительную федеральную структуру власти в рамках ее компетенции.

Орган по защите прав субъектов персональных данных осуществляет контроль без возможности ознакомления со сведениями.

Работа с заявлениями

Законодательство регламентирует порядок, в соответствии с которым осуществляется рассмотрение запросов субъектов персональных данных. На операторов, работающих с информацией, возлагается ряд обязанностей.

В первую очередь при поступлении запроса необходимо сообщить субъекту или его доверенному лицу о наличии соответствующих данных.

Оператору надлежит предоставить возможность ознакомиться с информацией в десятидневный срок с даты получения заявления.

https://www.youtube.com/watch?v=rrmNaugrwXo

В случае принятия решения о неудовлетворении запроса, уполномоченное лицо должно направить мотивированный ответ.

В нем должна присутствовать ссылка на положения нормативного акта, предусматривающего соответствующее основание.

Это необходимо сделать в семидневный срок с даты обращения носителя личной информации или получения заявления. Возможность ознакомления с данными предоставляется субъекту/представителю безвозмездно.

При необходимости оператор вносит в сведения изменения, уничтожает или блокирует информацию. Для этого субъект (представитель) предоставляет информацию, подтверждающую, что данные устарели, были получены противоправным способом, являются недостоверными и пр. О внесенных корректировках оператор уведомляет самого носителя сведений, а также сторонних лиц, которым они были переданы.

Устранение нарушений

При выявлении недостоверных сведений, обнаружении незаконных действий оператора при обращении либо по заявлению субъекта/его представителя к уполномоченной структуре о блокировке, она должна быть проведена незамедлительно.

Заинтересованное лицо может предоставить документы, в соответствии с которыми информация может быть уточнена. Если выявлены незаконные действия оператора, он в трехдневный срок с момента их обнаружения обязан устранить нарушения. Если это сделать не представляется возможным, сведения полежат уничтожению.

Это действие должно быть совершено в течение трех дней с даты обнаружения нарушений.

При достижении цели, для которой была необходима обработка данных, оператор обязан немедленно прекратить всю работу с информацией.

При этом он должен уничтожить сведения в трехдневный срок, если другое не предусматривается законодательством. О совершенных действиях оператор уведомляет субъекта или его представителя.

Если обращение либо заявление были направлены уполномоченной структурой, реализующей функции в сфере безопасности личных сведений, то извещается и она.

Форма согласия субъекта персональных данных

Разрешение лица на работу с его личными сведениями может предоставляться в любом виде, позволяющем подтвердить факт получения, если другое не закрепляется ФЗ № 152.

В своих разъяснениях Роскомнадзор (орган по защите прав субъектов персональных данных) рекомендует оформлять его письменно. Требования к документу присутствуют в 9 статье указанного выше Закона.

В письменное согласие включают:

  1. Ф. И. О., адрес лица, сведения о документе, подтверждающем личность (номер, серия, дата выдачи и наименование учреждения, его оформившего).
  2. Информацию о представителе субъекта. Кроме Ф. И. О., адреса, сведений о паспорте, приводятся реквизиты доверенности.
  3. Наименование либо адрес, Ф. И. О. оператора.
  4. Цель обработки личной информации.
  5. Перечень сведений, на работу с которыми дает разрешение их носитель.
  6. Наименование либо адрес и Ф. И. О. лица, осуществляющего обработку информации по поручению оператора.
  7. Конкретные действия, которые будут совершаться с информацией. Должно присутствовать также общее описание способов, используемых оператором при обработке данных.
  8. Период, в течение которого действует разрешение, если другое не устанавливается законодательством.
  9. Подпись субъекта-носителя данных.

Разрешение может предоставляться в электронном виде. В этом случае документ удостоверяется цифровой подписью.

Ответственность за неисполнение предписаний законодательства

Лицам, признанным виновными в нарушении требований ФЗ № 152, могут вменяться санкции в соответствии с действующими нормами. В частности, ст. 13.11 КоАП предусматривает наказания за незаконные сбор, хранение, использование, распространение сведений о гражданах. В качестве самой мягкой санкции выступает предупреждение. Кроме этого, ст. 13.11 предусматривает штрафы для:

  • физлиц – 300-500 р.;
  • служащих – 500-1 000 р.;
  • организаций – 5-10 тыс. р.

Моральный вред субъекту персональных данных, возникший в связи с ущемлением его интересов, нарушением предписаний действующего законодательства, подлежит возмещению в рамках гражданского судопроизводства. Его компенсация осуществляется вне зависимости от взыскания имущественного ущерба и понесенных убытков.

Уведомление о работе с информацией

До начала обработки данных оператор должен известить уполномоченную структуру (Роскомнадзор) о своем намерении. Исключение из этого правила закреплены в ч. 22 статьи ФЗ № 152. Оператор может не уведомлять уполномоченный орган, если он работает с данными:

  1. Относящимися к лицам, с которыми он связан трудовыми отношениями.
  2. Полученными при заключении договора, в качестве одной из сторон которого выступает субъект данных. При этом действует оговорка. Информация, полученная оператором, не должна распространяться и передаваться третьим лицам. Она используется исключительно для реализации условий договора и оформления соглашений с субъектом-носителем сведений.
  3. Относящихся к участникам религиозной или общественной организации. При этом полученная информация не должна распространяться без их разрешения.
  4. Являющимися общедоступными.
  5. Включающими только Ф. И. О. носителя.
  6. Необходимыми для однократного пропуска лица на территорию, где располагается оператор, либо в других подобных целях.
  7. Содержащимися в информационных базах, имеющих статус автоматизированных систем.
  8. Обрабатываемыми без применения средств автоматизации, согласно ФЗ или других нормативных актов, предусматривающих требования к безопасности информации при работе с ней и соблюдению интересов ее носителей.

Оформление уведомления

Извещение должно быть оформлено письменно. Оно подписывается уполномоченным служащим. Допускается направление уведомления в электронном виде. В этом случае оно заверяется цифровой подписью. В извещении необходимо указать:

  1. Наименование (Ф. И. О.) и адрес оператора.
  2. Цель работы со сведениями.
  3. Категории данных, которые будут обрабатываться.
  4. Юридическое основание для работы со сведениями.
  5. Категории лиц-носителей информации.
  6. Перечень конкретных действий оператора.
  7. Описание мер, которые будут предприняты для обеспечения безопасности сведений.
  8. Дату начала работы с информацией.

В уведомлении также должен присутствовать срок прекращения либо условие, при котором завершается обработка личных данных.

Источник: https://FB.ru/article/319423/subyekt-personalnyih-dannyih---eto-kto-takoy-forma-soglasiya-subyekta-personalnyih-dannyih

Персональные данные (Краткий FAQ)

Что такое субъект пдн

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
– другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Оператор персональных данных – это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных – это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I.  Определить категорию обрабатываемых персональных данных: 
• категория 4 – обезличенные и (или) общедоступные персональные данные; 
• категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 – в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; 
• объем 2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.): 
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
•класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
•класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

Объем / КатегорияОбъем 3  (100 000,  субъект Федерации)
Категория 4 (обезличенные, общедоступные)Класс 4Класс 4Класс 4
Категория 3 (идентификационные)Класс 3Класс 3Класс 2
Категория 2 (идентификационные и еще)Класс 3Класс 2Класс 1
Категория 1 (медицинские, социальные)Класс 1Класс 1Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20. 

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

ДОПОЛНЕНИЕ :

Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4: 
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:  
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 
2) Предпроектное обследование информационной системы — сбор исходных данных; 
3) Классификация системы обработки персональных данных; 
4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 
5) Разработка частного технического задания на систему защиты персональных данных; 
6) Проектирование системы защиты персональных данных; 
7) Реализация и внедрение системы защиты персональных данных; 
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 
9) Аттестация (сертификация) по требованиям безопасности информации; 
10) Повышение квалификации сотрудников в области защиты персональных данных; 
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Аттестация информационных систем по требованиям безопасности информации обязательна: 
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;  
– в остальных случаях — для ИСПДн 1, 2 и 3 классов.  
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3). 
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание: 
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации. 

ДОПОЛНЕНИЕ :

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять

Источник: https://habr.com/ru/post/107576/

Кратко и доступно: что такое персональные данные, их хранение и обработка

Что такое субъект пдн

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать.

Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства.

При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Источник: https://mcs.mail.ru/blog/chto-takoe-personalnye-dannye-ih-hranenie-i-obrabotka

Персональные данные: что является ПДн, оператор ПДн, документы для обработки ПДн

Что такое субъект пдн

04.09.2018

Наверное, нет таких предпринимателей, которых бы не пугали Роскомнадзором в 2017 году. Защищать персональные данные своих сотрудников и клиентов прошлым летом ринулись многочисленные предприниматели и в особенности интернет-предприниматели.

И тому была веская причина — ответственность за нарушение порядка обработки персональных данных была серьезно ужесточена — теперь есть ответственность в виде штрафа за неопубликование Политики обработки персональных данных.

При этом дела передали рассматривать от прокуратуры в Роскомнадзор, который куда более оперативно стал проводить проверки и рассматривать жалобы.

Что такое персональные данные?

Если вы зададите такой вопрос Роскомнадзору (а его не задавал только ленивый), то получите типовой ответ из Закона о персональных данных, что ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а также их совокупность». Исходя из этого мы можем сделать вывод, что ПДН — это практически любая информация, а чаще её совокупность (например, ФИО и дата рождения), с помощью которой определяется или может быть определено конкретное физическое лицо.

Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах, в частности:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация и т.п.;
  • контактная информация (адрес, номер телефона и т.п.);
  • семейное положение, наличие детей;
  • факты биографии;
  • СНИЛС;
  • дата и место рождения;
  • адрес;
  • email;
  • финансовое положение, включая сведения о зарплате (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • фотография и видеозапись, позволяющие установить личность человека (Разъяснения Роскомнадзора);
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

При этом само по себе ФИО или email ещё не будут персональными данными, т.к. не позволяет определить конкретное лицо, а вот вместе с дополнительными сведениями — об адресе, дате рождения или месте работы — уже будут являться ПДн. В отношении email есть интересная позиция: если адрес электронной почты содержит имя и фамилию гражданина, то он сам по себе тоже является персональными данными.

Отдельный вопрос, являются ли файлы файлы cookies (в которых собираются поведенческие сведения о пользователи конкретного ПК: посещенные сайты, длина сессий, аутентификационный идентификатор и т.п.

), данные о поведении пользователя на сайте, IP-адрес и сведения о геопозиции персональными данными? Роскомнадзор считает эти данные персональными и не только в совокупности с ФИО или фотографией пользователя, но и сами по себе.

В действительности cookies и IP-адрес лишь передают сведения о конкретном ПК или ином устройстве, выходящем в интернет, но не обязательно о конкретном пользователе.

IP-адрес ещё менее «надёжно» определяет пользователя, так как компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).

Есть несколько примеров, когда суды принимали решение признать персональным данными только имя в онлайн-форме на сайте (к примеру, постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288 в отношении тамбовской юридической фирмы). Ориентироваться на такую судебную практику не стоит:
  1. При желании можно найти решения суда, подтверждающие практически любую позицию, но это не значит, что эта позиция верна.
  2. Постановление Тамбовского областного суда — яркий пример судебного акта, который должен был быть отменён как незаконный и необоснованный, однако «нарушитель» не стал его обжаловать в Верховный суд РФ. Ведь очевидно, что имя не позволяет определить конкретное лицо с необходимой степенью достоверности.

К «неперсональным данным» относятся:

  • ИНН, так как он включен в ЕГРЮЛ и свободно доступен;
  • рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте);
  • видеозапись в публичных местах и на охраняемой территории;
  • образцы почерка (подписи) и фотография гражданина в его личном деле у работодателя согласно позиции Роскомнадзора, что «поскольку… личность уже определена и чьи персональные данные уже имеются в распоряжении оператора».

Однако если они будут использованы для идентификации человека, то сразу же становятся ПДн и более того специальной категорией — биометрическими ПДн.

Кто является оператором персональных данных?

Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.

Вы проводите семинар и просите слушателей оставить свои контактные данные (ФИО, email, название компании, должность, телефон и т.п.) в этом случае кем бы вы не являлись обычным гражданином или предпринимателем — вы оператор персональных данных, который:

  • собирает (как раз на семинаре);
  • систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
  • накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
  • уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
  • извлекаете сведения для передачи в сервис почтовых рассылок;
  • после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.

Все эти действия и называются обработкой.

Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору.

Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется.

Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Когда надо получать согласие на обработку персональных данных?

Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.

К примеру, при размещении на сайте формы подписки на рассылку, в которой будет только email и впоследствии не будет дополнительно требоваться ФИО, согласие на обработку ПДн не требуется. Многие сайты стараются получать согласия во всех случаях сбора данных о пользователе, т.к. нельзя исключать, что Роскомнадзор может изменить свой подход к ситуации.

Когда не нужно согласие на обработку персональных данных?

Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.

К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.

Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.

Такое согласие не требуется в случаях, когда обработка персональных данных:

  1. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
  5. необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.

Защита персональных данных

Ключевым моментом, связанным с вопросом персональных данных, является именно их защита — на это нацелены все усилия государства и построена вся логика работы с этими данными. Конкретные действия по защите определяет сам оператор (тот, кто обрабатывает ПДн) кроме единственного вопроса — назначения ответственного за организацию обработки ПДн, что он должен сделать сразу и безусловно.

Такие меры должны быть достаточными, чтобы обеспечить выполнение ваших обязанностей и не допустить неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, копирование, распространение, а также иные неправомерные действия с ними.

Если проверяющие посчитают, что такие меры были недостаточными, то последует штраф и предписание, за неисполнение которого также предусмотрен ещё один штраф.

И так до того момента, пока вы не выполните всё ожидаемое от вас даже если вам это будет мешать вести бизнес.

Все мероприятия делятся на два вида:

  1. Юридические — по созданию комплекта документов.
  2. Технические и организационные. Это действия, которые вы должны совершить, чтобы обеспечить безопасность. К примеру, установить антивирус, файерволл, пароль на ПК, иногда установить шифрование, обучить сотрудников.

В отношении данных на бумажных носителях достаточно ограничить и контролировать физический доступ к ним (например, хранить их в сейфе или закрывающемся шкафу или комнате, иметь замки в офисе, охранную систему).

Для защиты электронных данных вам потребуется определить, какой у вас тип угрозы безопасности персональных данных и исходя из этого подобрать один из четырех уровней защищенности. От уровня защищенности будет зависеть конкретный комплекс мер, которые вы должны принять.

Специальные требования по защите ПДн предусмотрены для отдельных категорий операторов, к примеру, органов власти. Компании, которые подпадают под действие Европейского регламента о персональных данных (GDPR), в том числе если они продают товары гражданам Евросоюза, должны учитывать также требования этого регламента.

Производить видеозапись или фотографирование клиентов, в т.ч.

пациентов не запрещено, если целью является контроль за оказанием услуг или их улучшение (фото- и видеофиксация, создание обучающих видео), однако Роскомнадзор придерживается позиции, что в «целях установления дополнительных гарантий соблюдения прав как потребителей (пациентов, клиентов), а также самих работников и сотрудников должны быть приняты внутренние документы, которыми должны быть предусмотрены порядок и сроки хранения видеозаписей, а также ответственные лица, имеющие доступ к системе видеонаблюдения. Также необходимо предусмотреть возможность информирования о системе видеонаблюдения путем размещения информационных табличек в зонах видимости камер».

Совет: установите в Политике по обработке персональных данных (является обязательным документом для всех, кто вообще обрабатывает их) порядок и сроки хранения фото- и видеозаписей с изображением сотрудников и клиентов, приведите в соответствие с ними настройки вашей техники, ограничьте доступ к этим записям лиц, не имеющих служебной необходимости их просматривать.

Минимальный комплект документов для законной обработки персональных данных:

  1. Политика в отношении обработки персональных данных — документ в котором устанавливаются категории, цели, способы обработки ПДн, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. Документ должен быть размещён онлайн или на видном месте в помещении компании.
  2. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
  3. Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц, который выполняет требование разграничения доступа и позволяет установить, какой из сотрудников имел доступ в случае разглашения.
  4. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Читайте вторую часть: инструкция по защите ПДн на сайте.

Источник: https://MainMine.ru/pro/personalnyie-dannyie-zashhita-bez-napadenij-chast-1

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.