Понятие персональных данных защита персональных данных: Защита персональных данных
Защита персональных данных | Защита ПНд
Решения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов. Функции регуляторов выполняют:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
- Федеральная служба по техническому и экспортному контролю – ФСТЭК;
- Федеральная служба безопасности – ФСБ.
Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.
Что входит в понятие «персональные данные»?
Определение персональных данных (ПДн) содержится в законе 152-ФЗ.
Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом – получает и обрабатывает ПДн. Госструктуры, банки, интернет-магазины, социальные сети – это всего лишь несколько примеров из обширного списка операторов ПДн.
Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года размеры штрафов выросли) до административной ответственности, не исключено и уголовное преследование.
Нарушение процедуры обращения с персональными данными угрожает также потерей деловой репутации.
Выявление подобных фактов в компания нередко становится поводом для оттока клиентов. Значит, исполнять требования 152-ФЗ и соблюдать предписания регулирующих и контролирующих сферу ПДн структур – жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными.
Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Согласно законодательству, персональные данные разбиты на четыре категории. Компании формируют систему защиты ПДн в зависимости от категории, соответственно, различаются и требования к оператору.
Наиболее сложный и затратный процесс – внедрение полноценного комплекса обеспечения защищенности информационной системы персональных данных (ИСПДн), в которой обрабатываются сведения о расе и нации субъекта, вере, здоровье, интимной жизни, политических и философских взглядах. Все перечисленные данные входят в группу 
Защищу сведений из этой категории закон требует обеспечивать особенно тщательно.
Высоки требования закона к обеспечению защищенности и биометрических ПДн: биологических и физиологических характеристик, которые позволяют идентифицировать субъекта данных.
Компания, которая получила письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о профессии, контактных сведений, становится оператором общедоступных ПДн. Подобные сведения используют, например, для составления телефонных справочников. К защите общедоступных персональных данных законодательство предъявляет минимальные в сравнении с другими категориями требования.
К четвертой категории – иных ПДн – причисляют все сведения, которые нельзя отнести к специальным, биометрическими или специальным, но по которым возможно идентифицировать субъекта данных. Защищать иные ПДн проще, чем биометрические или специальные.
Однако требования к безопасности выше, чем в случае систем обработки данных из общедоступной категории.
Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», операторы при создании механизмов защиты должны учитывать численность субъектов ПДн. Законодательство делит ИСПДн на такие, в которых обрабатывают данные менее 100 тыс. и более 100 тыс. субъектов.
Обеспечение сохранности персональных данных, обрабатываемых в системе, начинается с определения наиболее вероятных угроз. Независимо от категории, целей обработки и численности субъектов ПДн, система должна гарантировать защиту от неправомерных операций, включая:
| копирование и распространение | уничтожение и блокировку | несанкционированное изменение |
В инфраструктуре комплексной защиты ИСПДн необходимо учитывать возможность присутствия внутреннего нарушителя.
Ущерб персональным данным способен причинить любой сотрудник, намеренно или по неосторожности.
Модули «СёрчИнформ КИБ» перехватывают информацию, переданную на внешние устройства, по почте и через облачные сервисы, а также следят за операциями с файлами
Меры, которые помогают предотвратить несанкционированный доступ, усилить надежность и отказоустойчивость ИСПДн, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ. Закон предписывает:
1. Определить масштаб информационной системы и категорию ПДн, смоделировать угрозы безопасности.
2. Внедрить организационно-технические механизмы безопасности в соответствии с четырьмя уровнями защищенности. Определение уровней содержится в постановлении правительства №1119.
4. Провести до начала обработки ПДн комплексный аудит безопасности, включая аудит информационной системы, компонентов защиты, исполнения требований внутренних организационных и методических распоряжений.
5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.
6. Заложить в информационной системе функции резервирования и восстановления ПДн в случае несанкционированных изменений или уничтожения.
7. Установить регламент доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны сегментироваться в зависимости от должностных обязанностей.
8. Внедрить инструменты аудита и журналирования действий сотрудников с персональными данными.
9. Контролировать исполнение правил безопасности эксплуатации персональных данных и непрерывность работы защитных аппаратно-программных сервисов ИСПДн.
Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21. Например:
1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации – объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн. Это значит, необходимо задействовать механизмы авторизации и разграничения прав.
2. Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.
3. Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.
4. Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.
5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже – полного) выхода из строя информационной инфраструктуры.
6. Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты неавторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.
д.
7. Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.
8. Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.
Перечень мер, устанавливаемых ФСТЭК для реализации системы безопасности ИСПДн, не исчерпывается несколькими пунктами. В приказе № 21 приводятся требования к инструментам виртуализации, каналам связи, конфигурации ИСПДн, классы средств вычислительной техники, антивирусных систем и другие параметры защиты. Кроме приказа ФСТЭК, при внедрении комплекса защиты ПДн организация – обработчик данных должна руководствоваться приказом ФСБ России от 10.
07.2014 № 378.
«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности.
Разработать и внедрить полный комплекс мероприятий по защите ПДн невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно. Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.
Сотруднику без ИБ-компетенций под силу разобраться в законодательстве и определить категорию ПДн. Пошаговые инструкции, доступные в Сети, помогут разработать регламент информирования субъектов ПДн о сборе информации и составить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн – это стандартные документы.
Определить роли, разграничить доступ и зафиксировать, какие сотрудники имеют доступ и какие операции вправе совершать с ПДн – несложная задача для специализированного ПО.
Без привлечения специалиста с профильными знаниями не обойтись на этапе при составлении политики безопасности и определении актуальных угроз. Цикл внедрения программно-технических комплексов от подбора до «боевого» использования ПО и оборудования требует понимания документации ФСТЭК и ФСБ. Специалист должен не только ориентироваться в классах СВТ, антивирусах и межсетевых экранах, но и знать, как гарантировать конфиденциальность и обеспечить безотказность связи для сегментов ИСПДн.
Проблема заключается в том, что даже обладающий нужной квалификацией ИТ- или ИБ-специалист не сможет внедрить и поддерживать в ИСПДн подсистему информационной безопасности без соблюдения ряда условий. Работа со средствами технической защиты – деятельность, лицензируемая ФСТЭК. Значит, перед оператором ПДн встанет задача получить лицензию регулятора.
Крупным организациям целесообразно нанять штат специалистов по информационной безопасности, выполнить условия, чтобы получить лицензию ФСТЭК, а затем самостоятельно создать и поддерживать систему обеспечения защиты персональных данных.
Небольшим организациям – обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь лицензиатов ФСТЭК. Это организации, которые профессионально занимаются защитой информации. Специалисты лицензиатов уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.
Еще одна возможность защитить ПДн для небольших компаний – отдать ИБ-задачи на аутсорсинг внештатным специалистам по безопасности «СёрчИнформ».
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Федеральный закон о персональных данных — Российская газета
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2.
Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2.
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13.
Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи.
Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18.
Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент
Российской Федерации
В. Путин
Защита персональных данных
Защита персональных данных
Предлагаем вам оценить наш уникальный опыт по организации защиты персональных данных – одного из приоритетных направлений работы Центра защиты информации «Север». Мы имеем лицензии ФСБ и ФСТЭК России, и по итогам оказания услуги выдаем аттестаты соответствия, подтверждающие надлежащий уровень защищенности информации.
Понятие защиты
Персональные данные – это любая информация, относящаяся к субъекту этой информации. В данном случае речь идет о физическом лице и его личных данных, включая ФИО, место и дату рождения, образование и прочее. Подобная информация должна быть защищена законными и эффективными методами.
Согласно Конституции РФ, каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Каждое физическое лицо взаимодействует с операторами персональных данных – организациями, физическими лицами, государственными и муниципальными органами, которые осуществляют обработку его персональной информации.
Под обработкой данных понимаются любые действия с персональными данными. Это сбор, обработка, хранение, обновление, распространение, использование информации в разных целях и иные действия.
На операторов возложена обязанность защищать персональную информацию от несанкционированного доступа. Для этого оператор должен использовать технические, административные и иные методы и средства.
Кто регулирует защиту персональных данных?
В качестве регулирующих органов выступают следующие госструктуры:
- Роскомнадзор вправе получать от операторов по требованию личные данные, проверять и уточнять их, при выявлении нарушений в процессе обработки – приостанавливать процесс, подавать и защищать в суде интересы субъекта персональных данных и многое другое.
ФСТЭК контролирует деятельность организаций, обеспечивающих защиту персональных данных (в том числе проводит внеплановые проверки).
ФСБ осуществляет лицензирование деятельности по защите личных данных, связанной с использованием методов шифрования (криптографических).
Что если у оператора выявлены нарушения? При выявлении нарушений оператором исполнения требований закона, защищающего персональные данные, регулирующие органы вправе:
- Обратиться в орган лицензирования для приостановления или аннулирования лицензии, если она используется для осуществления обработки персональных данных.
- Привлечь руководство оператора к административной, гражданской или уголовной ответственности.
- Приостановить процесс обработки персональной информации.
Кроме того, оператор рискует потерять репутацию, оказаться в суде по иску со стороны сотрудников или клиентов.
Что нужно делать?
Необходимо воспользоваться услугами квалифицированных специалистов, профессионально организующих защиту персональных данных любых категорий. Центр защиты информации «Север» – это:
10-летний опыт специализации на защите информации.
Соответствующие лицензии и разрешения на наши услуги.
Экспертная оценка мероприятий по защите информации.
Защита персональных данных специальных категорий, в том числе расовой и национальной принадлежности, политических взглядов, религиозных убеждений, здоровья и интимной жизни.
- Широкий спектр возможностей – от организации локальных точек обработки до территориально распределенных многоуровневых информационных систем с сотнями узлов и выделенными серверами обработки информации в соответствии современными требованиями по защите информации.
Итоговая стоимость услуги, включая расходы на необходимые технические средства, оглашается после предварительного обследования.
Политика в отношении персональных данных
Политика обработки персональных данных ООО «Доктор»
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Доктор» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика обработки персональных данных в клинике разработана в соответствии с Федеральным законом от 27.07.2006 г. N°152-ФЗ «О персональных данных».
2. Понятие персональных данных
2.1. Перечень персональных данных, подлежащих защите в ООО «Доктор» формируется в соответствии с ФЗ РФ от 27 июля 2006 г. N° 152-ФЗ «О персональных данных» и Уставом
2.2. Сведениями, составляющими персональные данные, в ООО «Доктор» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. Обработка персональных данных в клинике осуществляется для достижения конкретных и законных целей и исключительно в целях выполнения обязательств клиники при оказании услуг, обеспечения соблюдения законов и иных нормативных правовых актов; обеспечения личной безопасности субъекта; контроля выполняемой работы и обеспечения сохранности имущества.
3. Принципы и условия обработки персональных данных
3.1. Обработка персональных данных в ООО «Доктор» осуществляется на основе следующих принципов:
— законности и справедливой основы;
— ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
— недопущения обработки персональных данных, несовместимой с целями сбора персональных данных.
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработки только тех персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
— недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
— уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
3.2. ООО «Доктор» обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для осуществления прав и законных интересов клиники или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. ООО «Доктор» и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.4. В целях информационного обеспечения в клинике могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты.
Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
3.5. ООО «Доктор» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению клиники, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.
3.6. Обработка клиникой специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
— субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
— персональные данные сделаны общедоступными субъектом персональных данных;
— обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
— обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
— обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии терроризму, о противодействии коррупции, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
— обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.
3.7. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться в клинике только при наличии согласия в субъекта в письменной форме.
4. Права субъекта персональных данных
4.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на ООО «Доктор».
4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от клиники уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
4.4. Если субъект персональных данных считает, что клиника осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие клиники в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Обеспечение безопасности персональных данных
5.1. Безопасность персональных данных, обрабатываемых клиникой, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
5.2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6. Заключительные положения
6.1. Иные права и обязанности клиники, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
6.2. Должностные лица ООО «Доктор», виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
для тех, кому нужно быстро разобраться
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
- Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
- Иные данные — это просто дополнительная информация, они часто могут меняться.
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
- Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
- Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
- Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
- Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
- Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
- В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.
Об обработке и защите персональных данных — Хиславичская районная больница
Приложение № 2
«СОГЛАСОВАНО» «УТВЕРЖДАЮ»
Председатель профсоюзной организации Главный врач ОГБУЗ «Хиславичская ЦРБ»
_________________Бурова Г.А. ____________________Шевелева Е.Л.
« » 2020 год. « » 2020 год.
ПОЛОЖЕНИЕ
об обработке и защите персональных данных работников ОГБУЗ «Хиславичская ЦРБ»и пациентов
Утверждено Приказом ОГБУЗ «Хиславичская ЦРБ» от 05 января 2020 г. N 191
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ОГБУЗ «Хиславичская ЦРБ и пациентов. Под работниками подразумеваются лица, заключившие трудовой договор с ОГБУЗ «Хиславичская ЦРБ, под пациентами лица, обратившиеся за медицинской помощью или находящиеся под медицинским наблюдением.
1.2. Цель настоящего Положения — защита персональных данных работников ОГБУЗ «Хиславичская ЦРБ» и пациентов от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем организации и вводятся приказом по организации. Все работники организации должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. Состав персональных данных работника:
— анкета; автобиография; декларации, подаваемой в налоговую инспекцию; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; копии отчетов, направляемые в органы статистики; копии документов об образовании; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; фотографии и иные сведения, относящиеся к персональным данным работника; рекомендации, характеристики и т.п.
2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 летнего срока хранения, если иное не определено законом; образование; сведения о трудовом и общем стаже; сведения о предыдущем месте работы; сведения о составе семьи; паспортные данные; сведения о воинском учете; сведения о заработной плате сотрудника; сведения о социальных льготах; специальность; занимаемая должность; размер заработной платы; наличие судимостей; адрес места жительства; домашний телефон; содержание трудового договора; содержание
.
3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ
3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.2. При определении объема и содержания обрабатываемых персональных данных работника, работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
3.1.8. Работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. ОБЯЗАННОСТИ РАБОТНИКА
Работник обязан:
4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ.
4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
5. ПРАВА РАБОТНИКА
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
6.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
6.5. При поступлении на работу работник заполняет анкету и автобиографию.
6.5.1. Анкета представляет собой перечень вопросов о персональных данных работника.
6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
6.5.3. Автобиография — документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.
6.5.4. Автобиография составляется в произвольной форме, без помарок и исправлений.
6.5.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
6.5.6. Личное дело работника оформляется после издания приказа о приеме на работу.
6.5.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника, номер личного дела.
6.5.8. К каждому личному делу прилагаются две цветные фотографии работника размером 3х4 см.
6.5.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
6.5.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКА
8.1. Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным сотрудника имеют:
— руководитель организации;
— главный бухгалтер;
— специалист отдела кадров;
-специалист по охране труда;
-бухгалтер по заработной плате;
бухгалтер.
— руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия;
— при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию с руководителем предприятия;
— сотрудники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;
— сам работник, носитель данных.
8.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые организации;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— подразделения государственных органов управления.
8.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятиях.
9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,
СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Главный врач________________________________________ Е.Л.Шевелева
Главный бухгалтер __________________________________С.А.Василькова
Специалист отдела кадров ____________________________В.В. Жирнова
Специалист по охране труда___________________________Д.В.Щербаков
Бухгалтер по заработной плате_________________________ Т.М.Жучкова
Бухгалтер ___________________________________________ И.В.Калинина
11. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
ОГБУЗ «Хиславичская ЦРБ»
11.1.Согласно п. 1 ст. 3 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ персональными данными признается любая информация, так или иначе относящаяся к физическому лицу и позволяющая идентифицировать его.
Указом Президента РФ от 06.03.1997 № 188 информация о частной жизни гражданина отнесена к сведениям конфиденциального характера, следовательно, разглашению и несанкционированному сбору не подлежит.
Уголовно-правовая защита такого рода сведений реализована в ст. 137 УК РФ. Название нормы позволяет распространить ее на все виды сведений о фактах, обстоятельствах и событиях частной жизни гражданина.
Таким образом, к понятию «частная жизнь», неприкосновенность которой охраняет ст. 137 УК РФ, можно отнести следующую информацию о человеке:
— данные непосредственно о самой личности, включая реквизиты удостоверяющих документов, сведения о месте пребывания (проживания) человека и его жилище;
— паспортные данные, СНИЛС, полис ОМС, место работы, место регистрации и фактического пребывания;
— данные о родственниках и иных близких людях;
— сведения, составляющие иную тайну, охраняемую законом (информацию о вкладах и счетах в кредитных организациях, об усыновлении, содержание телефонных переговоров, переписки (в том числе электронной), телеграфных сообщений, факт составления и содержание завещания и т. д.).
Кроме того, в эту же категорию входят сведения, отнесенные к налоговой, адвокатской, врачебной тайне, информация, полученная в ходе исповеди (тайна исповеди).
Сбор таких сведений и тем более разглашение без согласия их носителя возможны только в случаях, прямо предусмотренных законом. Например, в рамках расследования или рассмотрения уголовного дела, в ходе исполнения судебного решения и т. д.
В иных ситуациях сбор и распространение данных о частной жизни есть прямое нарушение ст. 23–24 Конституции РФ.
12.ПРАВА ПАЦИЕНТА
Перечень информации, которую вправе запросить пациент, чьи данные обрабатываются, установлен в ч.7 ст. 14 Закона №152-ФЗ. В перечень входят: цели обработки, источники получения данных, сроки их хранения, данные о лице, которому поручена обработка, и т.д. Медорганизация должна предоставить информацию в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона № 152 – ФЗ).
13.ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ПАЦИЕНТА
Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным пациента имеют:
— оператор ЭВМ;
-медицинский статистик;
— медрегистратор;
-программист;
— медицинская сестра по приему вызовов.
14. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,
СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ПАЦИЕНТОВ
ОГБУЗ «Хиславичская ЦРБ»
14.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Оператор ЭВМ _____________________________ Л.Ю.Данченкова
Медицинский статистик __________________________ Г.А.Петрушенкова
Медрегистратор _____________________________ М.Н.Зуева
Медрегистратор _____________________________ Л.Ф.Коваль
Программист _______________________________ Д.М.Бобык
Медицинская сестра по приему вызовов _____________________________ Н.И.Зеликова
Медицинская сестра по приему вызовов _____________________________ Г.В.Леванкова
Медицинская сестра по приему вызовов _____________________________ Л.Л.Никифорова
Медицинская сестра по приему вызовов _____________________________ Г.А.Вячистая
с 24 июля 2018 г.
Решает ли покупка сертифицированной программы проблему защиты ПДн?
В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.
Разберемся с понятиями
Обработку и защиту персональных данных в информационных системах регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Конкретные меры защиты описывает Приказ ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.
Проблема во многом связана с тем, что пользователи объединяют понятия «программа» и «информационная система», из-за чего складывается мнение, что, защитив «программу», можно выполнить требования Закона № 152-ФЗ.
Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.
Чего же хочет закон?
Для того чтобы выявить различие понятий «информационная система» и «программа», обратимся к нормативной документации.
Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).
Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.
Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.
Обеспечьте защиту персональных данных в вашей компании
Узнать большеЧто такое сертифицированная программа и какие требования по защите ПДн она выполняет?
Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.
Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам. Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей. А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.
Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
На практике сертифицированные программы имеют ряд ограничений:
- сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
- сертификат выдается только на конкретную версию/платформу программного обеспечения;
- при переходе на новую версию программного обеспечения сертификат становится недействительным;
- необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
- сертификат действует не более трех лет.
Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.
Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных. Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.
Как выполнить требования и не парализовать работу предприятия
Оптимальным решением может быть выбор качественного лицензионного программного обеспечения, в котором учтены основные требования к организации обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», в сочетании с применением необходимых организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе.
Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152
Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:
- Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
- Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных.
- Определение требуемого уровня защищенности персональных данных обрабатываемых в информационной системе персональных данных.
- Разработка технического проекта на создание системы защиты персональных данных.
- Приобретение средств защиты персональных данных.
- Внедрение системы защиты персональных данных.
- Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Читайте также:
Типичные ошибки при построении системы защиты ПДн (СЗПДн)
Практика. Создание системы защиты персональных данных
Персональные данные | Общий регламент по защите данных (GDPR)
Термин «личные данные» — это начало применения Общего регламента по защите данных (GDPR). Только если обработка данных касается личных данных, применяются Общие правила защиты данных. Термин определен в ст. 4 (1). Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес — все это личные данные.
Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно более широко. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.
И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. С другой стороны, для физических лиц защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.
Помимо общих личных данных, необходимо учитывать прежде всего особые категории личных данных (также известные как конфиденциальные личные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.
Внешние ссылки
Органы
- Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
- Управление по защите данных Остров Мэн ► Знайте свои данные — нанесение на карту 5 W (Ссылка)
- Data Protection Authority UK ► Ключевые определения (Ссылка)
- Европейская комиссия ► Что такое личные данные? (Ссылка)
- Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
- Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Персональные данные, стр. 83 (Ссылка)
Экспертный вклад
- A&L Goodbody ► GDPR: Руководство для бизнеса — Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
- Bird & Bird ► Конфиденциальные данные и законная обработка (Ссылка)
GDPR: что такое личные данные?
Персональные данные лежат в основе Общего регламента защиты данных (GDPR).Однако многие люди до сих пор не знают, что именно означает «личные данные».
Не существует окончательного списка того, что является или не является персональными данными, поэтому все сводится к правильной интерпретации определения GDPR:
«[Л] личные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).
Другими словами, любая информация, явно относящаяся к конкретному человеку. Но насколько широко это применимо?
GDPR поясняет, что это применяется всякий раз, когда физическое лицо может быть идентифицировано, прямо или косвенно, «посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, специфичных для физического, физиологическая, генетическая, умственная, экономическая, культурная или социальная идентичность этого физического лица.”
Очень много информации. В определенных обстоятельствах чьи-либо IP-адрес, цвет волос, работа или политические взгляды могут считаться личными данными.
Квалификатор «определенные обстоятельства» заслуживает особого внимания, потому что вопрос о том, считается ли информация личными данными, часто зависит от контекста, в котором она собирается.
Контекст — это все
Организации обычно собирают много разных типов информации о людях, и даже если одна часть данных никого не выделяет, она может стать актуальной наряду с другой информацией.
Например, контролер данных, который запрашивает информацию о людях, скачивающих продукты со своего веб-сайта, может попросить их указать свою профессию.
Это не относится к сфере персональных данных GDPR, потому что, по всей вероятности, должность не является уникальной для одного человека.
Точно так же организация может спросить, в какой компании они работают, что, опять же, не может быть использовано для идентификации кого-либо, если только он не является единственным сотрудником.
Бесплатная загрузка PDF: Общий регламент ЕС по защите данных — Руководство по соответствию
Однако во многих случаях эти фрагменты информации могут использоваться вместе, чтобы сузить число физических, живых людей до такой степени, чтобы вы могли разумно установить чью-либо личность.
Другими словами, если вы ссылаетесь на кого-то с определенным названием должности в конкретной организации, может быть только один человек, который подходит под это описание.
Конечно, это не всегда так. Например, знание того, что кто-то работает бариста в Starbucks, мало что сужает.
В этих случаях эти две части информации вместе не будут считаться личными данными. Однако маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.
Имена не всегда считаются личными данными
Вы можете подумать, что чье-то имя — это самый ясный пример личных данных; это буквально то, что определяет вас как , вы . Но не всегда все так просто, как поясняет Управление комиссара по информации Великобритании:
«Само по себе имя Джон Смит не всегда может быть личными данными, потому что есть много людей с таким именем.
«Однако, если имя сочетается с другой информацией (например, адресом, местом работы или номером телефона), этого обычно будет достаточно для точной идентификации одного человека.”
Однако ICO также отмечает, что имена не обязательно нужны для идентификации кого-либо:
«То, что вы не знаете имени человека, не означает, что вы не можете идентифицировать [их]. Многие из нас не знают имен всех своих соседей, но мы все еще можем их опознать ».
См. Также:
Руководство по тому, что является (или могло бы быть) личными данными
Как мы уже объясняли, сложно сказать, соответствует ли определенная информация определению личных данных GDPR.
Однако компания, предоставляющая облачные услуги, Boxcryptor предоставляет список вещей, которые могут считаться персональными данными, либо сами по себе, либо в сочетании с дополнительной информацией:
- Биографические данные или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
- Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
- Данные о рабочем месте и информация об образовании , включая зарплату, налоговую информацию и количество студентов.
- Частные и субъективные данные , включая религию, политические взгляды и данные геотрекинга.
- Здоровье, болезни и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.
Как организациям следует обращаться с личными данными
Если вы не уверены, является ли хранимая вами информация личными данными, лучше проявить осторожность.
Это означает обеспечение того, чтобы обработка персональных данных ограничивалась необходимостью, и хранить данные только до тех пор, пока они соответствуют своей цели.
Вам также следует настоятельно рассмотреть возможность псевдонимизации и / или шифрования информации, особенно если это особая категория личных данных.
Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.
Несмотря на то, что псевдонимизация играет ключевую роль в защите данных — она упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, она имеет свои ограничения, поэтому в GDPR также упоминается шифрование.
Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получить доступ к полному набору данных.
Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.
Если вы не уверены, обратитесь к DPO
Тем, кто хочет постоянно получать советы о том, как управлять личными данными, которые они собирают, следует проконсультироваться с DPO (офицером по защите данных).
DPO — это независимый эксперт, нанятый для ознакомления организаций с их требованиями соответствия GDPR. Они отвечают за многие задачи, в том числе:
- Информирование и консультирование организации и ее сотрудников об их обязанностях;
- Мониторинг политик и процедур защиты данных организации;
- Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
- Действуя в качестве контактного лица между организацией и ее надзорным органом.
GDPR гласит, что определенные организации должны назначать DPO, но даже если вы не соответствуете этим критериям, в любом случае может быть очень полезно назначить его.
Стать экспертом GDPR
Вы можете узнать больше о требованиях вашей организации к защите данных, пройдя индивидуальный онлайн-курс сертифицированного фонда GDPR
Этот однодневный курс проводится опытным экспертом по защите данных и дает всестороннее введение в Регламент и его правила.
Идеально подходит для менеджеров, которые хотят понять, как Регламент влияет на их организацию, и сотрудников, отвечающих за соблюдение GDPR, и доступен в различных формах, включая онлайн и для самостоятельного обучения.
Версия этого блога была первоначально опубликована 17 февраля 2018 года.
Что такое личные данные? | Европейская комиссия
Ответ
Персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому живому физическому лицу .Различные части информации, которые собираются вместе, могут привести к идентификации конкретного человека, также являются личными данными.
Персональные данные, которые были деидентифицированы, зашифрованы или псевдонимизированы , но могут использоваться для повторной идентификации человека, остаются личными данными и подпадают под действие GDPR.
Персональные данные, которые были предоставлены анонимно таким образом, что личность не может быть или больше не может быть идентифицирована, больше не считаются персональными данными.Чтобы данные были действительно анонимными, анонимизация должна быть необратимой.
GDPR защищает персональные данные независимо от технологии, используемой для обработки этих данных — он технологически нейтрален и применяется как к автоматизированной, так и к ручной обработке, при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке). Также не имеет значения, как данные хранятся — в ИТ-системе, при видеонаблюдении или на бумаге; во всех случаях к персональным данным применяются требования защиты, изложенные в GDPR.
Примеры личных данных
- имя и фамилия;
- домашний адрес;
- адрес электронной почты, например [email protected];
- номер удостоверения личности;
- данные о местоположении (например, функция данных о местоположении на мобильном телефоне) *;
- IP-адрес;
- идентификатор файла cookie *;
- рекламный идентификатор вашего телефона;
- данные, хранящиеся в больнице или у врача, которые могут быть символом, однозначно идентифицирующим человека.
* Обратите внимание, что в некоторых случаях существует специальное отраслевое законодательство, регулирующее, например, использование данных о местоположении или использование файлов cookie — Директива о конфиденциальности ( , Директива 2002/58 / EC Европейского парламента и Совет от 12 июля 2002 г. (OJ L 201, 31.7.2002, стр. 37) и Регламент (ЕС) № 2006/2004 ) Европейского парламента и Совета от 27 октября 2004 г. (OJ L 364, 9.12.2004, с. 1).
Примеры данных, не считающихся персональными данными
- регистрационный номер компании;
- адрес электронной почты, например [email protected];
- анонимные данные.
Список литературы
Что такое GDPR, его требования и факты?
Компании, которые собирают данные о гражданах в странах Европейского союза (ЕС), должны соблюдать новые строгие правила защиты данных клиентов.Общий регламент по защите данных (GDPR) устанавливает новый стандарт для прав потребителей в отношении их данных, но компании столкнутся с трудностями, поскольку они внедряют системы и процессы для обеспечения соответствия.
Соответствие вызовет некоторые опасения и новые ожидания групп безопасности. Например, GDPR широко рассматривает, что составляет личную идентификационную информацию. Компаниям потребуется такой же уровень защиты для таких вещей, как IP-адрес человека или данные файлов cookie, что и для имени, адреса и номера социального страхования.
GDPR оставляет многое для интерпретации. В нем говорится, что компании должны обеспечивать, например, «разумный» уровень защиты личных данных, но не определяется, что считается «разумным». Это дает руководящему органу GDPR большую свободу действий при оценке штрафов за утечку данных и несоблюдение требований.
Время на исходе, чтобы уложиться в срок, поэтому CSO собрал все, что нужно знать любому бизнесу о GDPR, а также рекомендации по соблюдению его требований. Многие из требований не относятся напрямую к информационной безопасности, но процессы и системные изменения, необходимые для выполнения, могут повлиять на существующие системы и протоколы безопасности.
Что такое GDPR?
Европейский парламент принял GDPR в апреле 2016 года, заменив устаревшую директиву о защите данных с 1995 года. В ней содержатся положения, требующие от предприятий защиты личных данных и конфиденциальности граждан ЕС при транзакциях, которые происходят в государствах-членах ЕС. GDPR также регулирует экспорт личных данных за пределы ЕС.
[ Связано: -> Как подготовиться к приближающемуся Общему регламенту защиты данных ]
Положения одинаковы во всех 28 странах-членах ЕС, что означает, что компании должны соблюдать только один стандарт в ЕС.Однако этот стандарт довольно высок, и для его соблюдения и управления большинством компаний потребуется вложить значительные средства.
Почему существует GDPR?
Краткий ответ на этот вопрос — обеспокоенность общественности по поводу конфиденциальности. В Европе в целом уже давно действуют более строгие правила использования компаниями личных данных своих граждан. GDPR заменяет Директиву ЕС о защите данных, которая вступила в силу в 1995 году. Это было задолго до того, как Интернет стал центром онлайн-бизнеса, которым он является сегодня.Следовательно, директива устарела и не затрагивает многие способы хранения, сбора и передачи данных сегодня.
Насколько реальна обеспокоенность общественности по поводу конфиденциальности? Это значительный показатель, и он растет с каждой новой серьезной утечкой данных. Согласно отчету RSA о конфиденциальности и безопасности данных, для которого RSA опросила 7500 потребителей во Франции, Германии, Италии, Великобритании и США, 80% потребителей заявили, что потеря банковских и финансовых данных является главной проблемой. Утерянная информация о безопасности (например,g., пароли) и идентификационная информация (например, паспорта или водительские права) вызвали озабоченность 76% респондентов.
Тревожной статистикой для компаний, занимающихся данными о потребителях, является то, что 62% респондентов отчета RSA заявили, что в случае взлома они обвинят компанию в потере данных, а не хакера. Авторы отчета пришли к выводу, что «по мере того, как потребители становятся более информированными, они ожидают большей прозрачности и оперативности от управляющих их данными.”
Недоверие к тому, как компании обращаются со своей личной информацией, побудило некоторых потребителей принять собственные меры противодействия. Согласно отчету, 41% респондентов заявили, что намеренно фальсифицируют данные при подписке на услуги онлайн. Проблемы безопасности, желание избежать нежелательного маркетинга или риск перепродажи данных были среди их главных забот.
Отчет также показывает, что потребители не так легко простят компанию, если происходит нарушение, раскрывающее их личные данные.Семьдесят два процента респондентов в США заявили, что они будут бойкотировать компанию, которая, по всей видимости, игнорирует защиту их данных. Пятьдесят процентов всех респондентов заявили, что они с большей вероятностью будут делать покупки в компании, которая может доказать, что серьезно относится к защите данных.
«По мере того, как предприятия продолжают свои цифровые преобразования, более широко используя цифровые активы, услуги и большие данные, они также должны нести ответственность за ежедневный мониторинг и защиту этих данных», — заключил отчет.
Какие типы данных конфиденциальности защищает GDPR?
- Основная идентификационная информация, такая как имя, адрес и идентификационные номера
- Интернет-данные, такие как местоположение, IP-адрес, данные файлов cookie и RFID-метки
- Медицинские и генетические данные
- Биометрические данные
- Расовые или этнические данные
- Политические взгляды
- Сексуальная ориентация
На какие компании влияет GDPR?
Любая компания, которая хранит или обрабатывает личную информацию о гражданах ЕС в странах ЕС, должна соблюдать GDPR, даже если у них нет бизнес-присутствия в ЕС.Конкретные критерии для компаний, которые должны соответствовать:
- Присутствие в стране ЕС.
- Нет присутствия в ЕС, но обрабатывает личные данные жителей Европы.
- Более 250 сотрудников.
- Менее 250 сотрудников, но его обработка данных влияет на права и свободы субъектов данных, не является случайной или включает определенные типы конфиденциальных личных данных. Фактически это означает почти все компании. Опрос PwC показал, что 92% компаний U.Компании S. считают GDPR главным приоритетом защиты данных.
В новом опросе, проведенном Propeller Insights при спонсорской поддержке Netsparker Ltd., руководители спрашивали, какие отрасли больше всего пострадают от GDPR. В большинстве случаев (53%) сектор технологий пострадал больше всего, за ним следовали интернет-магазины (45%), компании-разработчики программного обеспечения (44%), финансовые услуги (37%), онлайн-услуги / SaaS (34%) и розничные / потребительские товары. (33%).
Кто в моей компании будет отвечать за соблюдение требований?
GDPR определяет несколько ролей, которые отвечают за обеспечение соответствия: контролер данных, обработчик данных и офицер по защите данных (DPO).Контроллер данных определяет, как обрабатываются персональные данные и для каких целей они обрабатываются. Контроллер также несет ответственность за соблюдение требований внешних подрядчиков.
[ Связано: -> Требования GDPR повышают глобальные ставки защиты данных ]
Обработчиками данных могут быть внутренние группы, которые поддерживают и обрабатывают записи личных данных, или любая аутсорсинговая фирма, которая выполняет все или часть этих действий. GDPR возлагает на обработчиков данных ответственность за нарушения или несоблюдение.Тогда возможно, что и ваша компания, и партнер по обработке, например поставщик облачных услуг, будут нести ответственность за штрафные санкции, даже если вина полностью ложится на партнера по обработке.
GDPR требует, чтобы контроллер и процессор назначили DPO для наблюдения за стратегией безопасности данных и соблюдением GDPR. Компании должны иметь DPO, если они обрабатывают или хранят большие объемы данных граждан ЕС, обрабатывают или хранят специальные личные данные, регулярно контролируют субъектов данных или являются государственным органом.Некоторые государственные организации, такие как правоохранительные органы, могут быть освобождены от требования DPO.
Согласно исследованию Propeller Insights, 82% компаний-респондентов заявили, что у них уже есть штатные сотрудники, хотя 77% планируют нанять нового или заменяющего DPO до крайнего срока 25 мая. Этот наем не заканчивается на DPO. Около 55% респондентов сообщили, что наняли не менее шести новых сотрудников для обеспечения соответствия GDPR.
Как GDPR влияет на контракты с третьими сторонами и клиентами?
GDPR возлагает равную ответственность на контроллеры данных (организацию, владеющую данными) и обработчики данных (внешние организации, которые помогают управлять этими данными).Сторонний процессор, не соответствующий требованиям, означает, что ваша организация не соответствует требованиям. Новое постановление также содержит строгие правила сообщения о нарушениях, которые должны соблюдать все участники цепочки. Организации также должны информировать клиентов об их правах в соответствии с GDPR.
Это означает, что все существующие контракты с обработчиками (например, поставщиками облачных услуг, поставщиками SaaS или поставщиками услуг по расчету заработной платы) и клиентами должны четко определять обязанности. В пересмотренных контрактах также необходимо определить последовательные процессы управления данными и их защиты, а также того, как сообщать о нарушениях.
«Самая большая работа связана с закупками внутри компании — вашими сторонними поставщиками, вашими поставщиками, которые обрабатывают данные от вашего имени», — говорит Мэтью Льюис, руководитель международной практики банковского дела и регулирования в компании Axiom, предоставляющей юридические услуги. «Существует целая группа поставщиков, которые имеют доступ к этим личным данным, и GDPR очень четко определяет, что вам необходимо убедиться, что все эти третьи стороны соблюдают GDPR и обрабатывают данные соответствующим образом».
Клиентские контракты также должны отражать нормативные изменения, — говорит Льюис.«Клиентские контракты принимают различные формы, будь то интерактивные переходы по ссылкам или официальные соглашения, в которых вы берете на себя обязательства в отношении того, как вы просматриваете, получаете доступ и обрабатываете данные».
Прежде чем эти контракты можно будет пересмотреть, руководители предприятий, ИТ-отделы и группы безопасности должны понять, как данные хранятся и обрабатываются, и согласовать соответствующий процесс отчетности. «Технологическим группам, директорам по информационным технологиям и группе управления данными требуется довольно масштабное упражнение, чтобы понять, какие данные подходят для компании, где они хранятся или обрабатываются и куда экспортируются за пределы компании.Как только вы поймете эти потоки данных и их влияние на бизнес, вы сможете начать определять поставщиков, на которых вам нужно больше всего сосредоточиться как с точки зрения информационной безопасности, так и с точки зрения управления этими отношениями в будущем и того, как вы запомните это в контракте. сам », — говорит Льюис.
GDPR может также изменить отношение бизнес-групп и специалистов по безопасности к данным. По словам Льюиса, большинство компаний рассматривают свои данные и процессы, которые они используют для их добычи, как актив, но это восприятие изменится.«Учитывая явное согласие GDPR и компании, которым необходимо более детально разбираться в данных и потоках данных, теперь существует целый ряд обязательств, связанных с накоплением данных», — говорит Льюис. «Это совершенно другое мировоззрение как с точки зрения законодательства, так и с точки зрения соблюдения нормативных требований, но, возможно, более важно для того, как бизнес думает о накоплении и использовании этих данных, а также для групп информационной безопасности и того, как они думают об управлении этими данными».
«Данные уходят из фирмы разными способами, — говорит Льюис.«Хотя директора по информационным технологиям и технологические группы должны иметь возможность отслеживать все это, вам также необходимо установить защиту». Эти меры защиты должны быть прописаны в контракте, чтобы сторонние фирмы понимали, что они могут и не могут делать с данными.
Льюис отмечает, что, пройдя через процесс определения обязательств и ответственности, он подготавливает компанию к оперативному соблюдению GDPR. «Если один из ваших поставщиков скажет:« Вчера вечером вас взломали », знают ли они, кому звонить и как реагировать в рамках соблюдения нормативных требований», — говорит он.
72-часовое окно отчетности, которое требует GDPR, делает особенно важным, чтобы поставщики знали, как правильно сообщать о нарушении. «Если поставщик был взломан, а вы являетесь одним из тысяч клиентов, уведомляют ли они ваш отдел закупок, сотрудника по счетам или кого-то, кто занимается счетами к получению? Это могло произойти разными способами », — говорит Льюис.
Вы хотите, чтобы в контракте был четко определен путь, по которому информация будет поступать к лицу в вашей организации, ответственному за сообщение о нарушении.«Регулирующий орган не собирается говорить, что у вас не должно было быть нарушения. Они скажут, что у вас должна быть политика, процедуры и структура реагирования, чтобы быстро решить эту проблему », — говорит Льюис.
Более крупным компаниям, возможно, придется обновить тысячи контрактов. Эта проблема усложняется тем, что это необходимо делать на поздних этапах процесса соответствия. Прежде чем вы сможете определить обязанности и ответственность, вы должны точно знать, какие данные у вас есть, где и как они обрабатываются, а также потоки данных.«Это привело к тому, что многие учреждения стремятся к сроку, пытаясь решить технические и операционные проблемы, и вынуждены наверстывать упущенное, заключая правильный контракт, чтобы обеспечить выполнение этого. Многие фирмы не пересматривали условия контрактов ».
Возникает вопрос: что произойдет, если все контракты не будут заключены к майскому крайнему сроку? Льюис видит несколько рисков, связанных с невыполнением контрактов:
- Оперативный: Если вы не договорились с поставщиком о ваших процессах, неясно, как вы будете действовать в соответствии с GDPR.
- Управление поставщиками: в соответствии с GDPR вам необходимо знать, как работают ваши поставщики, включая их структуру безопасности, и как они управляют данными. Без этого знания вы не знаете, какой риск они представляют.
- Нормативные штрафы: Льюис отмечает, что ЕС известен своей готовностью взимать высокие штрафы за несоблюдение нормативных требований. Если происходит нарушение, отсутствие контрактов вполне может сработать против компании. «Отсутствие контракта — признак того, что вы не знаете, что делают ваши поставщики, и это более серьезная проблема управления, связанная с тем, какую инфраструктуру вы используете и как обрабатываете данные», — говорит Льюис.«Это дает регулирующему органу представление о том, насколько вы организованы и насколько хорошо вы понимаете свои потоки данных».
GDPR персональные данные — какую информацию они охватывают?
Практически все наши взаимодействия с организациями включают обмен личными данными. Примеры включают имя, номер телефона и адрес.
Одного из этих фрагментов данных может быть недостаточно для идентификации человека. Однако, собранные вместе, они могут идентифицировать конкретное лицо и, следовательно, представляют собой личные данные.Вот почему ее часто называют информацией, позволяющей установить личность, или PII .
Данные перестают быть личными, когда они становятся анонимными , и физическое лицо перестает быть идентифицируемым. Но для того, чтобы данные были действительно анонимными, анонимизация должна быть необратимой.
Данные, которые были зашифрованы, деидентифицированы или псевдонимизированы , но могут использоваться для повторной идентификации человека, по-прежнему являются личными данными.
Закон GDPR существует для защиты наших личных данных на всех уровнях.Он защищен на всех платформах, независимо от используемой технологии, и применяется как для ручной, так и для автоматизированной обработки. Законы о персональных данных также применяются независимо от того, как данные хранятся, будь то ИТ-система, бумага или видеонаблюдение.
GDPR и личные данные
GDPR был запущен в 2016 году с целью предоставить единый набор законов о конфиденциальности для Европейского Союза.
GDPR содержит руководящие принципы для организаций и предприятий относительно того, как они обрабатывают информацию, относящуюся к людям, с которыми они взаимодействуют.Это помогло гражданам Европейского Союза понять свои права, когда речь идет об их личной информации, и ее следует использовать.
Это важно, потому что технологии меняются быстрее, чем когда-либо, и персональные данные развиваются вместе с ними. Смартфон стал центральным элементом современного мира, и почти половина населения мира имеет аккаунты в социальных сетях.
Это радикально изменило характер передаваемой нами личной информации. Теперь он включает биометрические данные, такие как идентификация отпечатков пальцев и сканирование сетчатки глаза, а также данные о местоположении с IP-адресов и Google Maps.По этой причине наша личная информация более уязвима, чем когда-либо.
Определение персональных данных
Персональные данные занимают центральное место в Общем регламенте защиты данных (GDPR). Однако некоторые люди до сих пор не знают, что конкретно относится к «личным данным».
Основное определение персональных данных — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).
Другими словами, любая информация, которая явно относится к конкретному человеку и может быть использована для его идентификации.
GDPR гласит, что данные классифицируются как «личные данные». Физическое лицо может быть идентифицировано прямо или косвенно с помощью сетевых идентификаторов, таких как его имя, идентификационный номер, IP-адреса или данные о его местонахождении.
И если эти онлайн-идентификаторы предоставляют информацию, относящуюся к физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
В некоторых случаях даже информация, относящаяся к работе, цвету волос или политическим взглядам человека, может быть отнесена к персональным данным.Обычно это сводится к контексту, в котором были собраны данные, и к тому, можно ли прямо или косвенно идентифицировать субъект данных.
Примеры личной информации
Определение личных данных — это любая информация, относящаяся к «идентифицированному или идентифицируемому физическому лицу». Когда большинство людей думают о личных данных, они думают о телефонных номерах и адресах; однако личные данные охватывают ряд идентификаторов.
- Имя и фамилия.
- Адрес электронной почты.
- Телефон.
- Домашний адрес.
- Дата рождения.
- Race.
- Пол.
- Политические взгляды.
- Номера кредитных карт.
- Данные, хранящиеся в больнице или у врача.
- Фотография, на которой можно идентифицировать личность.
- Номер удостоверения личности.
- Идентификатор файла cookie.
- IP-адрес
- Данные о местоположении (например, данные о местоположении с мобильного телефона).
- Рекламный идентификатор вашего телефона.
Персональные данные, относящиеся к GDPR, не покрывают:
- Информация об умершем.
- Правильно анонимные данные.
- Информация о государственных органах и компаниях.
Идентификаторы GDPR
Человека можно идентифицировать, если его отличить от другого человека. GDPR просит компании учитывать:
- Если они могут идентифицировать отдельного человека, просто взглянув на данные, которые они обрабатывают.
- То, что вам не нужно имя для идентификации человека, это может быть комбинация других фрагментов данных, которые выступают в качестве идентификатора.
- Как они оценивают данные, которые они обрабатывают, и могут ли другие лица использовать их для идентификации личности.
- Есть ли в будущем вероятность того, что данные могут быть использованы для идентификации кого-либо.
- Содержание данных и касается ли они человека или того, чем он занимается.
- Причина обработки данных.
- Возможные последствия обработки данных для человека.
Как организациям следует обращаться с личными данными
Все организации должны проявлять осторожность при обработке персональных данных.
GDPR предполагает, что они должны гарантировать, что обработка любой личной информации ограничена тем, что необходимо.
Организации должны хранить эти данные только до тех пор, пока они соответствуют своему назначению. Им также следует попытаться псевдонимизировать и / или зашифровать эту информацию, особенно если она классифицируется как конфиденциальные данные.
ПсевдонимизацияПсевдонимизация — это маскировка данных путем замены любой идентифицированной или идентифицируемой информации искусственными идентификаторами.
Хотя это может быть отличный способ защитить безопасность и конфиденциальность личных данных, псевдонимизация ограничена. Хотя псевдонимные данные не позволяют идентифицировать человека напрямую, их можно относительно легко идентифицировать косвенно.
Некоторые примеры этого типа персональных данных включают
- Имя пользователя в Интернете, например имя, используемое для публикации в дискуссионном онлайн-форуме.
- Любые данные социальных сетей, например список друзей и данные для входа в систему.
- Данные, создаваемые пользователями Интернета — данные, которые сознательно генерируются отдельным лицом, например сообщения на дискуссионных форумах, поисковые запросы в Интернете и личные данные, которые они вводят в свои профили в социальных сетях.
- RFID-коды (радиочастотная идентификация) — RFID-чипы обычно содержат идентифицируемый уникальный номер, который индивидуализирует любое свойство, к которому он прикреплен, и, следовательно, может использоваться для идентификации кого-либо.
- Уникальные идентификационные номера на личных устройствах. Например, Mac-адреса, IP-адрес, номер Bluetooth, номер международного идентификатора мобильного оборудования (IMEI) или номер для беспроводной связи ближнего радиуса действия.
Шифрование работает аналогично псевдониму. Он скрывает личную информацию, заменяя уникальные идентификаторы другими данными.
Но в отличие от псевдонимизации, которая позволяет любому лицу, имеющему законный доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям просматривать полный набор данных.
GDPR гласит, что шифрование и псевдонимизация могут использоваться вместе или по отдельности, и многие организации предпочитают использовать оба метода для защиты своих субъектов данных.
Важность контекстаОрганизации собирают различные типы персональных данных — это нормально. Для них важно учитывать, что даже если одна часть информации не идентифицирует человека, она может стать актуальной в сочетании с другой информацией.
Например, контролер данных в организации может спросить своих клиентов, чем они занимаются, и с помощью одной только этой информации их невозможно идентифицировать. Следовательно, эта информация сама по себе не относится к сфере персональных данных в соответствии с GDPR, поскольку название должности обычно не относится к одному человеку.
Однако, если контролер данных также спросит их, в какой компании они работают, эти части информации вместе могут сузить число физических, живых лиц в компании с определенным занятием и, возможно, идентифицировать человека.Другими словами, если вы говорите о человеке, имеющем определенную должность в определенной компании, может быть один человек, который подходит под это описание.
Конечно, это не всегда так, например, если вы знаете, что человек — бариста в Starbucks, маловероятно, что вы сможете его идентифицировать, и, следовательно, эти две части информации вместе не будут считается персональными данными согласно GDPR.
Конфиденциальные данные
Хотя термины «личные данные» и «конфиденциальные данные» часто используются для описания одного и того же, GDPR проводит четкое различие между этими двумя терминами.
Согласно постановлению, конфиденциальные данные представляют собой набор специальных категорий, которые должны обрабатываться с повышенной безопасностью. Этими специальными категориями являются:
- Этническое или расовое происхождение.
- Политические взгляды.
- Культурная или социальная идентичность.
- философских или религиозных убеждений;
- Членство в профсоюзах.
- Генетические данные.
- Биометрические данные (которые можно использовать для однозначной идентификации).
Есть некоторые дополнительные правила, когда дело доходит до обработки конфиденциальных личных данных.Вы должны документально подтвердить законную причину обработки этой информации в соответствии со статьей 6 GDPR.
Согласно статье 6 организации должны иметь:
- Действующий договор с физическим лицом — Например, трудовой договор или договор на поставку товаров или услуг.
- Юридическое обязательство — Организация может быть юридически обязана обрабатывать данные.
- Общедоступная задача — Сюда входят официальные функции или задачи в общественных интересах.Например, школы и другие образовательные учреждения, государственные органы, такие как правительственные учреждения, больницы и правоохранительные органы.
- Законные интересы — У организации может быть законная и реальная причина (например, коммерческая выгода) для обработки личной информации без согласия.
- Согласие — Если субъект данных соглашается на обработку своих данных, после того, как ему будет дано четкое и честное объяснение причины их сбора и того, для чего они будут использоваться.
Существует распространенное предположение, что согласно GDPR все организации должны получить согласие на обработку персональных данных, но это не так.
Согласие — это лишь один из вариантов, которые есть у компаний, как показано в этой статье, и на самом деле это не всегда лучший вариант. Физические лица могут в любой момент отозвать контент, и в результате могут возникнуть сложности.
Когда организации не уделяют времени изучению требований GDPR, они могут попасть в тупик, и это может нанести длительный ущерб, от штрафов и принудительных мер до потери клиентов и негативной прессы.
Нарушение личных данныхGDPR устанавливает очень строгие правила в отношении личных данных и их использования.
Если какая-либо информация, относящаяся к другому лицу, случайно или незаконно потеряна, изменена, раскрыта, уничтожена или получен доступ, это классифицируется как нарушение данных.
Персональные данные являются ключевым аспектом идентификации в Интернете, но, к сожалению, ими можно воспользоваться. Некоторые люди могут изменять личные данные, чтобы захватить почтовые ящики, создать поддельные документы и использовать контактную информацию людей, чтобы преследовать их.
Они могут даже совершить кражу финансовых данных, которая обычно связана с кражей данных кредитной карты и банковского счета для использования или продажи. В других случаях личные данные, которые были взломаны, используются для создания ложных онлайн-идентификаторов, таких как поддельные профили в социальных сетях.
Это обычно называется мошенничеством с использованием личных данных или клонированием личных данных.
Как только человек получает доступ к определенным личным данным, таким как ваше имя, дата рождения, документы, удостоверяющие личность, номер социального страхования и пароли, он может использовать их для входа на различные веб-сайты, чтобы получить доступ к еще большей информации, которую они могут использовать. в их пользу.
Утечки личных данных не всегда являются результатом взлома киберпреступниками системы компании.
На самом деле, многие из этих инцидентов происходят, когда сотрудник случайно раскрывает личную информацию.
Это может быть электронное письмо, отправленное не тому человеку, техническая ошибка на веб-странице компании, потеря ноутбука или другого личного устройства, содержащего личные данные.
Общий регламент ЕС по защите данных
Всеобъемлющие законы о защите данных имеют важное значение для защиты прав человека — наиболее очевидно, права на неприкосновенность частной жизни, но также и многих связанных свобод, которые зависят от нашей способности делать выбор в отношении того, как и с кем мы делимся информацией о себе.Общие правила защиты данных Европейского союза (GDPR) — одна из самых сильных и всеобъемлющих попыток во всем мире регулировать сбор и использование личных данных как правительствами, так и частным сектором. Он был принят Европейским союзом в 2016 году и вступил в силу 25 мая 2018 года в 28 странах-членах ЕС. Если он будет надежно реализован и обеспечен соблюдением, он укрепит защиту конфиденциальности в Европе и, возможно, далеко за ее пределами.
Новые гарантии, предусмотренные постановлением, особенно важны для прав человека в эпоху цифровых технологий.Недавние скандалы с участием Facebook и Cambridge Analytica, а также обеспокоенность общественности по поводу утечки цифровых данных, целевой рекламы и профилирования частного сектора вызвали призывы к усилению контроля над тем, как собираются и используются личные данные.
Следующие ниже вопросы и ответы обобщают основные положения закона и обсуждают, что будет дальше.
- Что такое Общий регламент ЕС по защите данных (GDPR) и на кого он распространяется?
GDPR ЕС — это новый набор правил, направленных на усиление защиты личных данных и обеспечение единообразия такой защиты во всем ЕС.Регламент основан на существующей Директиве ЕС о защите данных 1995 года, важном наборе законов, который предшествовал повсеместному использованию смартфонов и появлению социальных сетей и других онлайн-сервисов (поиск, электронная почта и т. Д.), Которые компании предлагают пользователям бесплатно. , но финансировать с помощью целевой рекламы на основе данных. Регламент ЕС расширяет защиту конфиденциальности директивы и вводит новые меры безопасности в ответ на эти технологические разработки.
В эпоху цифровых технологий все, что человек делает в сети, генерирует или использует данные, которые могут быть очень откровенными о его личной жизни.GDPR предоставляет новые способы защиты личных данных и, как следствие, их конфиденциальности и других прав человека. Это дает каждому больше контроля и требует от предприятий, правительств и других организаций раскрывать больше информации о своих методах обработки данных, а также регулирует способы сбора, обработки и хранения данных людей.
«Персональные данные» в широком смысле определяются в GDPR и включают «любую информацию, относящуюся к идентифицированному или идентифицируемому лицу». Таким образом, даже данные, которые не позволяют напрямую идентифицировать имя человека, но могут помочь идентифицировать его, по-прежнему подпадают под действие закона.Это определение включает в себя онлайн-идентификаторы и идентификаторы устройств (например, IP-адреса, файлы cookie или идентификаторы устройств), данные о местоположении, имена пользователей и псевдонимные данные.
Хотя GDPR является нормативным актом ЕС, он повлияет на методы обработки данных многих организаций за пределами ЕС. Он применяется к любой организации, которая предлагает бесплатные или платные товары или услуги людям в ЕС или которая отслеживает поведение кого-либо в ЕС, независимо от местонахождения организации. Сюда входят, например, крупные американские интернет-компании, рекламные компании и брокеры данных, которые обрабатывают личные данные людей в ЕС.Согласно регламенту, «обработка данных» определяется в широком смысле и включает любую деятельность, которая касается личных данных, например сбор, хранение, использование или совместное использование.
В данном разделе вопросов и ответов мы имеем в виду обязательства «организаций» и компаний. Однако важно отметить, что требования GDPR применяются к широкому кругу организаций частного и государственного сектора, включая государственные учреждения, компании и неправительственные организации.
- Каковы отличительные меры защиты GDPR?
Регламент ЕС требует, чтобы все организации, государственные и частные, которые обрабатывают личные данные людей в ЕС, применяли определенные меры защиты и раскрывали дополнительную информацию о том, какие данные они собирают и как они будут использовать и передавать их.Он также обеспечивает гораздо больше защиты конфиденциальности для людей и данных, которые они могут предоставить компании или правительственному учреждению. Например:
- Компании должны запрашивать согласие перед сбором или использованием личных данных. В большинстве случаев компании, правительства и другие организации должны теперь получить подлинное и осознанное согласие, прежде чем они смогут собирать, использовать или передавать личные данные человека. Запрос на согласие должен быть четко различимым, понятным и легкодоступным, а также должен быть ясным и понятным [ст.6 (1) (а)]. Другими словами, запрос на согласие должен быть легким для понимания и поиска.
- Особые меры защиты применяются к конфиденциальной информации. Обработка определенных категорий конфиденциальных данных очень строго регулируется. Сюда входит информация, раскрывающая чье-либо расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также данные о генетике, здоровье и биометрии (например, отпечатки пальцев, распознавание лиц и другие измерения тела) [ст.9].
- Компании должны рассматривать онлайн-идентификаторы и данные о местоположении как личные данные [ст. 4 (1)]. Это означает, что информация, которую рекламодатели и веб-сайты используют для отслеживания онлайн-активности, например файлы cookie, идентификаторы устройств и IP-адреса, имеют такой же уровень защиты, как и другие личные данные. Такая информация может быть очень полезной для онлайн-поиска и активности, особенно в сочетании с данными других компаний.
- Компании должны объяснить, как личные данные человека используются, передаются и хранятся. [Ст.13], даже если они получили свои данные от другой компании, например от брокера данных или компании в социальных сетях [ст. 14].
- Любой желающий может бесплатно спросить компанию , какие личные данные о себе она хранит. [Ст. 15], а затем потребовать его удаления.
- Человек может загрузить свои личные данные и передать их конкуренту с помощью нового права на переносимость данных. [Ст. 20]. Например, каждый должен иметь возможность брать свои данные из одной социальной сети или финансового учреждения в формате, который позволяет им более легко переключаться на другой.
- Компаниям рекомендуется встраивать механизмы защиты конфиденциальности в свои системы — концепция, известная как конфиденциальность по дизайну [ст. 25]. Согласно правилам, те, кто обрабатывает данные, должны принимать технические и организационные меры безопасности, предназначенные для защиты данных от злоупотреблений, потери или неправомерного использования — например, путем минимизации данных, которые они собирают, и рассмотрения возможности использования псевдонимов и шифрования. Там, где риск для прав людей кажется высоким, и особенно там, где технология является новой, компании обязаны проводить оценку воздействия на защиту данных перед обработкой данных [ст. 35].
- О нарушениях данных необходимо сообщать властям [ст. 33] почти при любых обстоятельствах, и люди также должны быть проинформированы, если их данные могут быть нарушены, что может привести к «высокому риску» для их прав и свобод [ст. 34].
Директива ЕС о защите данных 1995 г. наложила многие из тех же требований, но GDPR усиливает и расширяет обязательства директивы.
- Как GDPR защищает людей и права человека?
GDPR дает людям повышенную защиту от ненужного сбора данных, использования данных непредвиденными способами и предвзятого алгоритмического принятия решений.В эпоху цифровых технологий личные данные неразрывно связаны с частной жизнью людей и другими правами человека. Все, что делает человек, оставляет цифровые следы, которые могут раскрыть интимные детали его мыслей, убеждений, движений, партнеров и действий. GDPR направлен на ограничение неправомерного вторжения в частную жизнь людей через их данные, что, в свою очередь, защищает ряд других прав человека.
Регламент ЕС дает людям в государствах-членах ЕС больший контроль над своими личными данными, включая то, какую информацию они передают, как она используется и кому она передается.Когда компания собирает чьи-то личные данные, ей часто необходимо получить согласие на понятном языке, что означает, что человека часто просят «согласиться» на сбор или использование их данных. Компании должны собирать и обрабатывать только те данные, которые необходимы для обслуживания, будь то продажа чего-либо в Интернете или создание учетной записи в социальных сетях.
Физические лица могут загружать и просматривать собранные о них данные, запрашивать исправления, требовать удаления своих данных при некоторых обстоятельствах и отозвать согласие на их дальнейшее использование.Люди также имеют право возражать против онлайн-профилирования и целевой рекламы, и организации должны прекратить обработку своих персональных данных, если компания не сможет продемонстрировать «веские законные основания» поступить иначе. Хотя правила не определяют, что будет считаться «вескими законными основаниями», они предоставляют абсолютное право возражать и прекращать прямой маркетинг по электронной почте, телефонным звонкам и текстовым сообщениям.
После того, как данные собраны, компании должны быть более прозрачными в том, как они делятся ими с другими.Теоретически это означает, что пользователи могут больше узнать о том, как компании подходят к партнерским отношениям с онлайн-профилированием и таргетингом на рекламу, особенно с теми, которые предлагают веб-аналитику, рекламу или услуги в социальных сетях.
Наконец, новая структура также гарантирует некоторую защиту от решений, основанных на профилировании, и от решений, сгенерированных компьютером [ст. 22]. Системы, которые включают алгоритмическое принятие решений или другие формы профилирования, могут привести к дискриминации по признаку расы, пола, религии, национального происхождения или другого статуса.Даже если люди соглашаются, они все равно имеют право на человеческую оценку важных результатов автоматизированных систем принятия решений. Поскольку правительства и компании все чаще используют алгоритмы для принятия важных решений о жизни людей, например о том, получает ли человек государственные пособия, медицинскую страховку, кредит или работу, эти меры защиты обещают определенную степень прозрачности и подотчетности, а также защиту от дискриминации, которая затрагивает человека. права человека.
- Насколько ясны права и обязанности в соответствии с GDPR?
GDPR, как и любое новое правило, со временем станет более ясным, поскольку люди и компании оспаривают практику и интерпретацию его требований.Уже есть определенные области, которые могут вызвать споры и ждут дальнейшего разрешения.
Государства-члены ЕС обладают определенной степенью гибкости при принятии решения о том, как применять закон и отражать его в своих национальных режимах защиты данных. Одна из областей, в которой ожидаются некоторые различия, — это возраст, в котором дети могут сами дать согласие на обработку своих данных без родителя или опекуна. Регламент ЕС позволяет государствам-членам устанавливать возраст согласия от 13 до 16 лет.Это повышает риск несоответствия подходов в Европейском Союзе.
Еще одна область неопределенности — это когда нормативные акты разрешают организациям получать и обрабатывать личные данные без согласия, если «законные интересы» организации перевешивают права и свободы человека. Некоторые из законных интересов, на которые могут полагаться организации, включают предотвращение мошенничества, внутреннее администрирование, информационную безопасность и сообщение о возможных преступных действиях. Но прямой маркетинг также является законным интересом, потенциально поднимая гораздо более широкую категорию, в сравнении с которой будут оцениваться права человека.В зависимости от того, как толкуется положение о «законных интересах», оно может создать серьезную лазейку, позволяющую сборщикам данных избегать получения согласия. Одна из мер предосторожности заключается в том, что странам-членам ЕС по-прежнему необходимо будет применять и обеспечивать соблюдение этого постановления таким образом, чтобы обеспечить уважение прав человека, закрепленных в Хартии основных прав Европейского Союза.
- Какие проблемы GDPR не сможет решить?
Регламент ЕС не ограничивает крупномасштабный государственный надзор, поскольку он допускает государственное наблюдение с широкими исключениями.Государственные органы могут обрабатывать персональные данные без согласия, если существует озабоченность «национальной безопасностью», «обороной» или «общественной безопасностью», термины, которые не определены в постановлении. Однако, как установил Суд ЕС, такие условия не предоставляют странам карт-бланш делать все, что им заблагорассудится. Международные и региональные законы о правах человека (и любые национальные нормативные акты, не противоречащие постановлениям ЕС) по-прежнему применяются для ограничения деятельности разведывательных и правоохранительных органов по слежке и обработке данных.
Однако многие европейские государства в последние годы расширили свои законы о слежке, подрывая защиту частной жизни и других прав человека. В ближайшие годы Суд ЕС, вероятно, будет призван разграничить исключения из правил в отношении государственных интересов в контексте европейского, европейского и международного права прав человека.
Усиление защиты данных в соответствии с постановлением ЕС также подчеркивает, насколько более слабые правила защиты данных в США по сравнению с ним.Это также усугубляет опасения по поводу передачи данных ЕС в США в соответствии с соглашением Privacy Shield. Согласно законодательству ЕС, американские компании не могут передавать личные данные из ЕС в США, если они не продемонстрируют, что они будут защищены способами, «практически эквивалентными» защите в Европе. В 2015 году в деле против Facebook, возбужденном защитником конфиденциальности Максом Шремсом, верховный суд ЕС признал недействительным соглашение, разрешающее такую передачу, сославшись на опасения, что спецслужбы США могут получить доступ к европейским данным без разбора и без значительного возмещения ущерба, если агентства нарушат права.
Под давлением с целью восстановления межатлантических потоков данных в июле 2016 года Министерство торговли США и Европейская комиссия заключили новое соглашение, Privacy Shield, пообещав более надежную защиту данных. Сделка основана на письменных заверениях директора национальной разведки США о том, что европейские данные не будут подвергаться «неизбирательному массовому наблюдению».
Однако эта сделка была ошибочной с самого начала, поскольку Privacy Shield не предотвращает слежку за европейскими данными.В результате Хьюман Райтс Вотч утверждает, что законы и практика США о слежке делают Privacy Shield недействительным.
- Что произойдет, если компании и другие учреждения не соблюдают GDPR?
Регламент ЕС налагает жесткие штрафы на организации государственного и частного сектора, нарушающие его условия. Например, регулирующие органы могут штрафовать компании до 20 миллионов евро или 4 процентов годового глобального оборота (дохода) за несоблюдение требований, в зависимости от того, какая сумма больше.
- Какое влияние окажет GDPR за пределами ЕС?
Регламент ЕС, вероятно, станет де-факто глобальным стандартом, как и предыдущая Европейская директива о защите данных, потому что он будет применяться к любой организации, которая собирает или обрабатывает данные граждан ЕС, независимо от того, где организация базируется или где обрабатываются данные ЕС. Также возможно, что неевропейские страны скопируют некоторые или многие из его средств защиты при модернизации или принятии законов о защите данных.
GDPR может стать стандартом, которому многие организации по умолчанию следуют везде, или, по крайней мере, его элементами. Некоторые транснациональные компании могут решить применить правила ЕС ко всем во всем мире, в то время как другие могут попытаться определить и применить отдельный набор правил для людей в ЕС. Например, Microsoft, Apple и Twitter объявили, что они распространят по крайней мере некоторые меры защиты на своих клиентов во всем мире, с различной степенью детализации того, какие положения будут применяться.Facebook также заявила, что распространит защиту GDPR «по духу» на пользователей, находящихся за пределами ЕС, но не взяла на себя обязательство применять правила во всем мире. В то же время компания предприняла шаги для того, чтобы пользователи Facebook в Африке, Азии, Австралии и Латинской Америке не подпадали под действие закона.
Другие предприятия могут полностью уйти с рынка ЕС или временно заблокировать людей в ЕС, пока они работают над соблюдением требований. В других случаях системы, разработанные в соответствии с правилами ЕС, такие как переносимость данных, могут быть легко предложены пользователям за пределами Европы, как только они будут внедрены.
Все страны должны принять всеобъемлющие законы о защите данных, которые ставят права человека в центр внимания. GDPR не идеален, но это один из самых надежных режимов защиты данных, действующих в мире. Правительствам следует регулировать обращение частного сектора с личными данными с помощью четких законов и ограничивать сбор и использование компаниями данных людей для защиты прав.
- Что будет дальше с GDPR?
В последние недели многие компании и другие учреждения разослали поток уведомлений об изменениях в их условиях обслуживания и политике конфиденциальности в рамках подготовки к крайнему сроку постановления ЕС.Тем не менее, некоторые корпоративные уведомления вызывают вопросы о том, нарушают ли компании уже дух правил. Например, постановление ЕС требует, чтобы компании получали информированное согласие пользователей перед сбором или использованием их данных. Но журналисты, просматривающие уведомления о согласии с политикой конфиденциальности Facebook, критиковали их за то, что они были разработаны для поощрения бездумного (а не осознанного и значимого) согласия и за неспособность предоставить пользователям достаточно подробный контроль над своими данными.
30 апреля главный чиновник ЕС по защите данных, европейский надзорный орган по защите данных Джованни Буттаррелли, предупредил регулирующие органы, чтобы они «проявляли бдительность в отношении попыток игры в систему», указав на поток обновлений политики конфиденциальности, которые, как представляется, побуждали пользователей соглашаться на широкое распространение. цифровое отслеживание как «одноразовое предложение». Это предупреждение подчеркивает сложность обеспечения значимого, осознанного согласия даже при повышенной прозрачности.
GDPR, скорее всего, приведет к потоку судебных дел и принудительных мер, поскольку органы и компании по защите данных оспаривают контуры новых правил и значение неоднозначных терминов.25 мая защитник конфиденциальности Макс Шремс уже подал первые жалобы на Google и Facebook во Франции, Бельгии, Германии и Австрии, в которых утверждалось, что европейские пользователи не могут контролировать свои данные. Шремс утверждает, что подход компаний к условиям обслуживания по принципу «все или ничего» является формой «принудительного согласия». В случае успеха жалобы могут привести к штрафам в размере до 7,6 млрд евро (около 8,8 млрд долларов США).
Теперь необходимы эффективная реализация, мониторинг и обеспечение соблюдения, чтобы гарантировать, что GDPR действительно защищает личную информацию, которой люди делятся с интернет-компаниями и технологическими компаниями, правительствами и другими лицами.
- Какое влияние GDPR окажет на свободу слова?
Регламент предусматривает право на стирание [ст. 17]. Это положение расширяет то, что стало известно как «право на забвение», которое Суд ЕС установил в 2014 году в деле против Google Испания. Согласно GDPR, люди могут попросить компании удалить личные данные при определенных обстоятельствах: например, если данные больше не нужны для целей, для которых они были собраны; если физическое лицо отзывает согласие или возражает, и нет оснований для его сохранения; или если данные были обработаны иным образом незаконно в нарушение GDPR.Это право также применяется, если личные данные были обнародованы, что вызывает значительные трудности с реализацией, учитывая легкость, с которой онлайн-информация может быть скопирована и распространена на нескольких веб-сайтах в различных юрисдикциях.
Правила предусматривают исключения, в том числе, если обработка данных необходима для осуществления свободы выражения мнений и информации, а также для архивных или исследовательских целей. Однако эти исключения не имеют четкого определения в GDPR и оставлены на усмотрение национального законодательства.Поскольку частные платформы рискуют наказать за несоблюдение, это положение может поощрять ненужное или чрезмерное удаление контента, нарушая свободу выражения мнения. Кроме того, оставление решений о том, когда обработка необходима для свободы выражения мнений (и других оснований общественных интересов) на усмотрение компаний, а не беспристрастных судов, означает, что у тех, кто желает и дальше иметь доступ к информации, которая устранен.
«Право на забвение», сформулированное в постановлениях Суда ЕС, подверглось критике за то, что позволяет людям скрывать правдивую, не дискредитирующую информацию, которая может быть просто нелестной.Например, люди, пользующиеся общественным доверием (такие как выборные должностные лица, священники и финансовые специалисты), пытались использовать право на забвение для удаления новостных статей, в которых обсуждались их предыдущие судимости, из результатов поиска Google.
Границы между защитой данных и свободой выражения мнений будут по-прежнему оспариваться, поскольку отдельные лица ссылаются на право GDPR на удаление.
Наконец, постановление ЕС не предназначено для борьбы с распространением дезинформации, разжигания ненависти или другого незаконного контента в Интернете.
- Что еще нужно сделать для защиты данных и права на конфиденциальность?
GDPR — важный шаг на пути к усилению защиты конфиденциальности. Однако он не будет эффективным без толкования, реализации и обеспечения соблюдения.
Национальные органы по защите данных должны будут строго реагировать на жалобы, оперативно расследовать нарушения и активно проводить расследования для обеспечения соблюдения положений. Многие органы по защите данных не имеют достаточных ресурсов, особенно по сравнению с крупными компаниями, и не имеют возможности играть всестороннюю правоприменительную роль.Государства-члены должны выделить соответствующие финансовые и человеческие ресурсы органам по защите данных.
Даже при строгом соблюдении требований по-прежнему существует множество структурных проблем на пути к реализации концепции GDPR о конфиденциальности и контроле данных. Во-первых, хотя регулирование требует согласия, прежде чем компании смогут собирать или обрабатывать данные, осмысленное информированное согласие трудно достичь без выбора. У многих крупных онлайн-сервисов мало реальных конкурентов, поэтому пользователям приходится либо соглашаться с условиями социальной сети, либо упускать из виду центральный компонент современной социальной или профессиональной жизни.Хотя дело Шремса может привести к некоторым позитивным изменениям, GDPR не полностью учитывает последствия такого рода монопольной власти.
Кроме того, осознанное согласие со временем станет все более труднодостижимым, поскольку рекламные экосистемы станут более сложными. Регламент ЕС не ставит под прямой вызов бизнес-моделям, основанным на рекламе, которые предлагают пользователям обменивать свои личные данные на бесплатные онлайн-сервисы, такие как электронная почта, социальные сети или поисковые системы — и все это при использовании этих данных для создания подробных профилей для продажи в рекламных сетях.Обычный пользователь может дать согласие на обработку данных, не понимая всей сложности того, как их данные будут использоваться, несмотря на требование законодательства о четких уведомлениях о конфиденциальности. Подход GDPR к согласию может затруднить для будущих Cambridge Analyticas несанкционированный доступ к данным, но далеко не ясно, может ли регулирование полностью предотвратить неожиданное или неправомерное использование личных данных, например, для «психометрической» предвыборной рекламы. Права человека — это минимальный стандарт, от которого нельзя отказаться по согласию, даже если можно было предвидеть все потенциальные способы использования данных.В конечном итоге цифровое общество может потребовать гораздо более серьезных мер защиты, чем может обеспечить модель, основанная на согласии.
Как будет определяться термин «Персональные данные» в GDPR?
Впервые опубликовано в ноябре 2016 г.
Коренные изменения в защите данных в Европейском Союзе вступят в силу в 2018 году — 25 мая th , если быть точным — когда новый Общий регламент защиты данных (GDPR) будет полностью введен в действие по всей Европе. Эти изменения во многом повлияют на бизнес в Великобритании, даже если статус переговоров по Brexit еще не завершен.
GDPR сосредоточен на правах субъекта данных, то есть лиц, проживающих в Европе, и их личных данных. Но «личные данные» — это такой общий термин. Что именно он включает и как это изменится, когда GDPR вступит в силу?
Текущие определения персональных данныхВ соответствии с действующей Директивой ЕС о защите данных и действующим Законом Великобритании о защите данных личные данные в широком смысле определяются как:
Любая информация, касающаяся живого, идентифицированного или идентифицируемого физического лица.
Это может быть прямо (например, имя человека) или косвенно (например, владелец этого бизнеса). Определение личных данных применяется к любой информации, которая может использоваться для идентификации человека, на основе « все средства, которые с достаточной вероятностью могут быть использованы ».
Так, например, идентификационный номер пользователя классифицируется как личные данные, поскольку его можно сопоставить с именем пользователя в базе данных. Термин «личные данные» по-прежнему применяется к данным, даже если они требуют использования информации в другом месте для идентификации личности.
В соответствии с действующей Директивой о защите данных к персональным данным относятся:
- Идентификационная информация, например номера
- Факторы, специфичные для физической, физиологической, умственной, экономической, культурной или социальной идентичности человека
Учитывая обширный характер персональных данных, одной из основных причин введения GDPR является более четкое определение того, что следует классифицировать как идентифицируемую информацию, и закрепить это в законе.
Новые правила обновляют определения персональных данных, чтобы отразить современный образ жизни, изменения в технологиях и способы сбора и хранения информации организациями, компаниями и предприятиями.
GDPR сохраняет то же широкое определение персональных данных, что и , «данные, на основе которых живое лицо может быть идентифицировано или идентифицировано (кем угодно), прямо или косвенно, любыми способами, которые с разумной вероятностью могут быть использованы».
Тем не менее, он продолжает четко указывать примеры этих личных данных и, в частности, добавляет новые идентифицирующие типы данных в свое определение.Сюда входят:
- Имена
- Данные о местонахождении
- Онлайн-идентификаторы
Данные о местоположении конкретно не определены, но связаны с данными, к которым привязано какое-либо географическое положение. Это классифицируется как личное, потому что оно может использоваться для определения того, где человек живет, работает и спит, или для выяснения социальной, религиозной или культурной идентичности.
Онлайн-идентификаторы относятся к цифровой информации, такой как IP-адреса, строки файлов cookie или идентификаторы мобильных устройств.Например, поскольку IP-адрес может использоваться для определения местонахождения человека, это явно личные данные.
Многие из этих типов информации уже считаются персональными данными, и все они подверглись многочисленным обсуждениям, проверке и судебным разбирательствам как в Европе, так и во всем мире. Хотя многие организации в настоящее время рассматривают эти типы идентифицирующей информации как персональные данные, теперь они закреплены в законе.
Новые дополнения к категориям конфиденциальных данныхВ качестве подкатегории личных данных конфиденциальные данные относятся к более конкретному типу личных данных, к которым следует обращаться с особой защитой и осторожностью.Текущее определение этого термина включает такую информацию, как:
- Расовое или этническое происхождение
- Политические взгляды
- Религиозные или философские убеждения
- Членство в профсоюзе
- Здоровье или половая жизнь
Согласно GDPR, конфиденциальным данным предоставляется более строгая защита, при этом для их обработки требуется явное согласие. В эту классификацию также добавлены два новых типа информации: генетические данные и биометрические данные.
Генетические данные конкретно относятся к последовательностям генов, которые используются в медицинских и исследовательских целях. Биометрические данные включают отпечатки пальцев, сетчатку глаза и распознавание лиц.
Поскольку во многих зданиях сейчас используются системы ввода отпечатков пальцев и программы распознавания лиц, являющиеся общей чертой многих мобильных приложений, легко увидеть, как новые определения личных данных GDPR будут иметь далеко идущие последствия.
Поощрение псевдонимизацииОдин из распространенных вопросов, часто связанных с проблемами защиты данных: если данные зашифрованы, остаются ли они личными?
GDPR пытается решить эту проблему с помощью новой концепции — псевдонимизации.Его официальное определение:
.«Обработка персональных данных таким образом, что данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, если такая дополнительная информация хранится отдельно и с учетом технических и организационных мер для обеспечения отсутствие атрибуции идентифицированного или идентифицируемого лица ».
В некотором смысле это просто конкретное определение практики, которая уже используется многими организациями и предприятиями — хеширование (в самом простом виде), шифрование или, в самом широком смысле, анонимизация данных, чтобы их нельзя было идентифицировать лично. без расшифровки.
Это защищает данные от причинения личного вреда в случае их утечки, кражи или использования в гнусных целях. Без другой части информации данные не могут быть связаны с индивидуальным персоналом.
Значит ли это, что данные больше не являются личными? Согласно GDPR, нет, он по-прежнему считается типом личных данных, несмотря на его шифрование. Таким образом, он по-прежнему подчиняется тем же правилам и процедурам в соответствии с новым Общим регламентом защиты данных.
Однако некоторые положения GDPR будут смягчены, если данные будут псевдонимами, а некоторые процессы могут быть освобождены от правил соответствия.В частности, правила нарушения конфиденциальности данных не будут такими строгими, если соответствующие данные были псевдонимизированы.
Компании также выиграют от большей гибкости при профилировании данных. Если данные анонимизированы таким образом, что субъект данных больше не идентифицируется, тогда GDPR заявляет, что принципы защиты данных не должны применяться.
Влияние на бизнесЭти исключения были введены в качестве стимула, побуждающего компании использовать псевдонимы или шифровать данные при каждой возможности.Действительно, в рамках GDPR часто упоминается псевдонимизация, включая ее описание как средство защиты.
Поэтому важно, чтобы компании смотрели на этот процесс как на часть более широкого обзора того, как они работают с данными и их защитой. Хотя на начальном этапе это может быть дорогостоящим, предприятиям следует рассмотреть возможность псевдонимизации личных данных, чтобы воспользоваться некоторыми смягченными правилами и стимулами для обработки данных.
Это также улучшит снижение рисков и управление соответствием, уменьшая возможность утечки данных и последующего судебного преследования, что может быть чрезвычайно жестким в соответствии с новым GDPR.
Для компаний с большим цифровым присутствием, включая компании за пределами ЕС, которые взаимодействуют с европейскими гражданами в Интернете, новые определения, включая онлайн-идентификаторы как личные данные, окажут большое влияние на социальные сети, аналитику и рекламу. Это лишь некоторые из областей, требующих дальнейшего изучения.
В целом, существует явная необходимость в развитии всестороннего понимания личных данных и того, что они означают, используя расширенные определения для пересмотра процедур, обновления процессов и повышения безопасности систем.
Готов ли ваш бизнес к GDPR? Взгляните на наши ресурсы, чтобы найти всю информацию, необходимую для подготовки к новым правилам.