Что такое персональные данные
Столкновение с Роскомнадзором грозит вам не только репутационными потерями и большими штрафами, но и, в случае возбуждения уголовного дела, может вылиться в блокировку ресурса. Так, например, случилось с социальной сетью LinkedIn.
Кому нужно знать закон
Вы оперируете персональными данными, если на вашем сайте есть:
Федеральный закон «О персональных данных» № 152-ФЗ
Вот как определяются персональные данные в пункте 1 статьи 3 152-ФЗ:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Состояние на 2019 год
«Часть 5 статьи 6 дополнить следующими абзацами:
Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.
Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно».
Это значит, что если оператор привлекает кого-либо для обработки ПДн, то за нарушения все равно отвечает оператор. Например, если вы отправляете спамную рассылку через сервис почтовой рассылки, отвечать будете вы — как оператор ПДн, а не сервис рассылки.
Исключения
Что относится к персональным данным
Категории персональных данных
Что это значит для владельцев сайтов
Субъекты персональных данных и их права
Права субъектов
Что это значит для владельцев сайтов
Хранение и обработка персональных данных
«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
Требования к обработке
Требования к хранению
Что это значит для владельцев сайтов
Инструкция: как безопасно работать с персональными данными
Общие правила
Требования к сайту
1. Хостинг и сервера с базой данных должны располагаться на территории России. Это требование Федерального закона от 21 июля 2014 г. N 242-ФЗ.
5. Всем новым пользователям нужно показывать дисклеймер (всплывающую форму) с предупреждением о том, что сайт собирает определенные данные (куки, IP, геолокацию и др.). В случае несогласия с этим, пользователь может покинуть сайт.
Дополнительные требования для юридических лиц
1. Назначить ответственных лиц за обработку данных.
2. Подготовить пакет внутренних документов, которые регламентируют процессы обработки и защиты персональных данных.
3. Соблюсти регламент по взаимодействию с физическими лицами, контрагентами и государственными органами.
Как защитить персональные данные
В России защита ПДн осуществляется созданием специального режима обработки данных. Он включает в себя следующие действия:
- Определить ситуации, когда нужно обрабатывать ПДн.
- Выделить процессы, в которых обрабатываются ПДн.
- Определить перечень сотрудников и подразделений, которые имеют доступ к ПДн в рамках рабочей деятельности.
- Выбрать ограниченное количество бизнес-процессов для аналитики.
- Определить набор информационных систем и совокупность ПДн, которые будут обрабатываться.
- Провести категоризацию ПДн и классификацию информационных систем (ИС).
- Сформировать актуальную модель угроз для каждой информационной системы персональных данных (ИСПДн).
- Подготовить техническое задание для создания системы защиты соответствующего уровня.
- Подать уведомление о начале обработки ПДН в Роскомнадзор для регистрации в качестве оператора ПДн.
- Отправить заявку на получение руководящих документов по организации системы защиты в Федеральную службу технического и экспортного контроля (ФСТЭК).
- Разработать требования для конкретной информационной системы, с учетом присвоенного класса защиты.
- Подготовить технический проект по защите ИСПДн и помещений.
- Разработать положения, приказы, инструкции и регламенты для систем защиты ПДн.
- Спроектировать и внедрить систему защиты ПДн.
- Получить согласие на обработку ПДн от субъектов.
- Регулярно проводить мероприятия по контролю и выявлению нарушений в защите ПДн.
Уровни защиты персональных данных
- 1 группа. Специальные категории ПДн: информация о расовой и национальной принадлежности субъекта, о политических, религиозных и философских предпочтениях, о здоровье и интимной жизни субъекта.
- 2 группа. Биометрические ПДн: данные о физиологических и биологических особенностях.
- 3 группа. Общедоступные ПДн: сведения о субъекте, полный доступ к которым предоставлен самим субъектом.
- 4 группа. Прочие категории ПДн, сведения, которые не представлены в предыдущих группах.
- Трудовые отношения. Субъекты, с которыми у вас имеются трудовые взаимоотношения, — сотрудники.
- Иные отношения. Вы обрабатываете данные субъектов, которые не являются сотрудниками вашей организации.
- До 100 000 субъектов.
- Более 100 000 субъектов.
- 1 тип. Наличие незаявленных возможностей в системном ПО, которое имеет доступ к ПДн.
- 2 тип. Недекларированные возможности в прикладном ПО, которое имеет доступ к ПДн.
- 3 тип. Угрозы, которые не связаны с недеклариованными угрозами в ПО.
Уровни защищенности ПДн
Что это значит для владельцев сайтов
Также вам необходимо будет обеспечить информационную защиту персональных данных при помощи фаерволов и антивирусных программ. Также вы можете обратиться в специальные дата-центры или заказать защищенное хранение данных в облаке или у специализированных провайдеров.
Набор конкретных мер зависит от необходимого уровня защищенности. Если вы не передаете результаты медицинских анализов и биометрические данные, то скорее всего ваш уровень защищенности — УЗ-3 или ниже. Таблица требований по обеспечению мер безопасности в соответствии с уровнем защищенности приведены в Приказе ФСТЭК России № 21 от 18.02.2013 г.
Дополнительные материалы по теме
Нарушения и штрафы
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;»
Санкции за нарушение закона о персональных данных указаны в статье 13.11 КоАП РФ.
Санкции
Санкции
Санкции
Санкции
Санкции
Санкции
Санкции
Сравнение с GDPR
Цель GDPR — дать гражданам контроль над их персональными данными и упростить нормативную базу для международных экономических отношений. Постановление также устанавливает ограничительные и контролирующие меры на трансграничную передачу данных.
GDPR актуален для тех, кто работает на территории Европейского союза или вступает в отношения с гражданами ЕС. То есть, если ваш интернет-магазин продает что-либо гражданам ЕС, то вы также подпадаете под действие данного нормативного акта. Кроме того, GDPR регулирует мониторинг онлайн-активности граждан ЕС, то есть, если вы собираете cookies пользователей из ЕС, вы попадаете под действие GDPR.
Основное отличие 152-ФЗ — в том, что GDPR распространяется не на все российские компании, а лишь на те, которые работают с гражданами ЕС. Второй важный момент: GDPR разрешает перенос персональных данных между компаниями по запросу пользователя. Третье отличие: в случае утечки данных оператор должен уведомить контролирующие органы в течение 72 часов, а затем и субъектов персональных данных, чьи интересы могут быть затронуты.
Если владелец сайта — юридическое лицо, ситуация осложняется, поскольку необходимо подготовить пакет документов и соблюсти ряд процедур. Документы можно подготовить самостоятельно, с помощью юриста, системного интегратора или автоматизированных сервисов. Это может потребовать дополнительных расходов, однако несоблюдение правил обойдется значительно дороже. При этом выполнить требования закона нужно будет всего один раз.
Комментарии к статье
Комментарии: 0