- Обзор Федерального закона «О персональных данных»
- Определение уровня защищенности персональных данных
- Защита персональных данных. Соответствие СЭД 152-ФЗ
- Классификация информационных систем персональных данных (ИСПДн)
- Ликбез по персональным данным для компаний, которые их обрабатывают
- Политика в отношении персональных данных
- Защита личных данных
Если Вам необходима помощь справочно-правового характера (у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают), то мы предлагаем бесплатную юридическую консультацию:
- Для жителей Москвы и МО - +7 (499) 653-60-72 Доб. 448
- Санкт-Петербург и Лен. область - +7 (812) 426-14-07 Доб. 773
Защита личных данных Защита личных данных Уже не один раз на страницах нашего сайта мы затрагивали тему персональных данных. Действительно каждый интернет-магазин, курьерская служба наравне с операторами персональных данных ежедневно сталкиваются в своей работе с личными данными клиентов. Согласно федеральному закону от 27. При этом закон устанавливает различные меры в зависимости от того используется при обработке персональных данных ИСПДн информационная система персональных данных или нет. Неавтоматизированная обработка — это обработка персональных данных на бумажных носителях. Основные мероприятия по защите документов, содержащих персональные данные Хранение документов.
Определяющие признаки при определении уровня защищенности персональных данных: категория обрабатываемых персональных данных: ИСПДн-С. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов. ИСПДн классифицируется исходя из нескольких факторов. Первый — категория обрабатываемой информации: категория 1 — персональные данные.
Обзор Федерального закона «О персональных данных»
Персональные данные являются неотъемлемой частью функционирования любой организации, начиная от крупных коммерческих организаций, заканчивая различными интернет-ресурсами. Работа с клиентами, обеспечение трудовой деятельности собственных сотрудников, персонифицированные отзывы на сайтах — все это обработка персональных данных. Правильная обработка и своевременное обеспечение защиты персональных данных — гарантия снижения информационных рисков, а также меньших вопросов со стороны государственных регуляторов. Основным документом, регулирующим рассматриваемый вид деятельности, является Федеральный закон от 27. Что же такое персональные данные? Чаще всего люди понимают под данным термином некую информацию, содержащуюся в официальных документах лица паспортные данные, данные из трудовой книжки, финансовые данные и т. В самом законе прописано, что персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу субъекту персональных данных. Исходя из определения, кроме официальных документов в указанную категорию могут включаться и сведения, которые при первом просмотре не производят впечатления относящихся к персональным данным. Примеры персональных данных Так, например, размещение на сайте отзыва о компании с указанием фамилии менеджера, который вел обслуживание, говорит об обработке персональных данных, ведь в рассматриваемом случае в отзыве косвенно упоминается конкретная личность фамилия, должность, место работы. На размещение такой информации требуется согласие этого менеджера как субъекта персональных данных. В иных случаях публикация сведений является нарушением законодательства РФ и может грозить блокировкой сайта в случае непринятых вовремя мер. Другой случай.Определение уровня защищенности персональных данных
Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде. Объясняем термины человеческим языком Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г.
Первый термин, который требуется понимать, — персональные данные. Что такое персональные данные Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом.
И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже. Идём дальше. Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных.
Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия операции , совершаемые с персональными данными. Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.
На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике. С этой базой работает маркетинговое агентство.
Вопрос: сколько операторов персональных данных мы имеем? Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем?
Правильный ответ — два. Компания, в облаке которой размещена база данных интернет-магазина. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.
Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно? Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий.
В соответствии с законодательством любую информационную систему персональных данных необходимо защищать. Методы защиты информации бывают разными. Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
Техническими — c помощью специализированных средств защиты информации. Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании. Пример Одно из средств защиты информации — это обезличивание персональных данных.
Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу. Кажется, я обрабатываю персональные данные Итак, с терминологией разобрались.
Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте. Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.
Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего. И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность.
Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить. Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может. Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.
Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе. Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г.
N 1119. Категории персональных данных простыми словами: Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета. Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.
Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей. Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография. Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.
Пример: врачебный диагноз информация о том, чем вы болели, когда, какой врач вас лечил. Персональные данные иных видов — сюда входят персональные данные, не вошедшие в указанные выше категории. Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.
Категория, количество, тип угроз — уровень защиты После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации. Пример: Word, Excel. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор.
Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.
Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе.
Всего сейчас существует четыре уровня защиты. Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных. Определить уровень защиты можно по этой таблице. Пример Больница обрабатывает персональные данные своих пациентов — это персональные данные специальной категории.
Также она обрабатывает персональные данные сотрудников — это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы. Например, всего их — до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано в компьютере или не автоматизировано в ручной картотеке.
Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости. Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ. Немного про опасность утечек персональных данных Зачем вообще так беспокоиться о защите персональных данных?
Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях. Последствия утечки персональных данных бывают разными.
Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.
Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк. В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.
Бремя ответственности Вы поняли важность вопроса и готовы нести ответственность? Потому что ответственность за сохранность персональных данных полностью лежит на операторе. Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав.
Защита персональных данных. Соответствие СЭД 152-ФЗ
Политика в отношении персональных данных 1. Общие положения 1. Настоящая Политика определяет политику Общества как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных. В целях настоящей Политики используются следующие понятия: 1.
Классификация информационных систем персональных данных (ИСПДн)
Для реализации целей, указанных в п. Физические лица — сотрудники ИП Обливанцева К. Физические лица, которые состоят с ИП Обливанцевым К. Физические лица, данные которых передают контрагенты ИП Обливанцева К. Физические лица, передавшие свои ПДн Оператору по каким-либо каналам связи телефонные звонки, e-mail для консультаций, запросов цен, иных целей; 6. Принципы обработки персональных данных 7. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст.
Ликбез по персональным данным для компаний, которые их обрабатывают
Также можно и зачастую целесообразнее обратиться к специализированным компания, занимающимся защитой персональных данных. Как определить категорию персональных данных, обрабатываемых на предприятии? Законом установлены следующие категории ПД: категория 1 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1; категория 3 персональные данные, позволяющие идентифицировать субъекта ПД; категория 4 обезличенные и или общедоступные ПД. Для того чтобы определить, какая категория обрабатывается каждой конкретной ИСПДн информационной системой персональных данных , предприятиям необходимо провести обследование всего предприятия и выявить все свои ИСПДн. Кроме кадровой, бухгалтерской системы, ИСПДн могут являться приложения поддержки основных бизнес-процессов автоматизированная банковская система, автоматизированная система расчета за услуги оператора связи, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. Как классифицировать ИСПДн?
ИСПДн классифицируется исходя из нескольких факторов. Первый — категория обрабатываемой информации: категория 1 — персональные данные. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. В нем указано про понятие категории персональных данных данных, объема и содержания обрабатываемых персональных данных.
Для соотнесения типа информационной системы персональных данных ИСПДн к тому или иному уровню защищенности необходимо: Определить категорию обрабатываемых персональных данных: категория 4 - обезличенные и или общедоступные персональные данные; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Определить объем персональных данных, обрабатываемых в информационной системе: объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации; объем 2 - одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; объем 1 - одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах РФ или субъекта РФ.
Политика в отношении персональных данных
ИСПДн классифицируется исходя из нескольких факторов. Первый — категория обрабатываемой информации: категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 — обезличенные и или общедоступные персональные данные. Второй фактор — масштаб ИСПДн. По объему обрабатываемых персональных данных количество субъектов, персональные данные которых обрабатываются в информационной системе ИСПДн делятся на три подкласса: 1 в информационной системе одновременно обрабатываются персональные данные более чем 100 тыс. По заданным оператором характеристикам безопасности обрабатываемой информации ИСПДн подразделяются на типовые и специальные.
Защита личных данных
Но всегда ли Заказчику требуется сертификат на продукт, если в нем планируется хранить ПДн? На самом деле — нет. Нужна ли именно сертифицированная версия или нет зависит от архитектуры автоматизированной системы на стороне Заказчика и его потребностей.
.
.
.
ВИДЕО ПО ТЕМЕ: За что чаще всего штрафует Роскомнадзор
Пока нет комментариев...