Уничтожение персональных данных требования

Уничтожение персональных данных требования

ПОЛОЖЕНИЕ
о порядке хранения и защиты персональных данных пользователей

1. Термины и определения
Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Соглашении понимается Сайт, расположенный в сети Интернет по адресу: http://april-eco.ru.
Пользователь – пользователь сети Интернет.
Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Акционерное общество «Партнер-Строй», расположенное по адресу: г. Тюмень, ул. Холодильная, д. 114.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию, в случаях, предусмотренных законом.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Общие положения
2.1. Положение о порядке хранения и защиты персональных данных Пользователей Сайта (далее — Положение) разработано с целью соблюдения требований законодательства РФ, содержащих персональные данные и идентификации Пользователей, находящихся на Сайте.
2.2. Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных.
2.3. Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных.
2.4. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта.
2.5. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.
2.6. Целями Положения являются:
– обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
– исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта.
2.7. Принципы обработки персональных данных:
– обработка персональных данных должна осуществляться на законной и справедливой основе;
– обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только персональные данные, которые отвечают целям их обработки;
– содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
– при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
– хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является Пользователь;
– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
2.8. Условия обработки персональных данных.
2.8.1. Обработка персональных данных Пользователей Сайта осуществляется на основании Гражданского кодекса РФ, Конституции РФ, действующего законодательства РФ в области защиты персональных данных.
2.8.2. Обработка персональных данных на Сайте осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РФ.
Обработка персональных данных допускается в следующих случаях:
– обработка персональных данных необходима для использования Сайта, стороной которого является Пользователь;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Пользователя Сайта, если получение согласия невозможно;
– обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Пользователей Сайта;
– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания персональных данных.
2.9. Цели обработки персональных данных.
2.9.1. Обработка персональных данных Пользователей Сайта осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом.
2.9.2. Сведениями, составляющими персональные данные на Сайте, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
2.10. Источники получения персональных данных Пользователей.
2.10.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.
2.10.2. Источником информации о персональных данных Пользователя являются сведения, полученные вследствие предоставления Оператором Пользователю прав пользования Сайтом.
2.10.3. Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа.
2.10.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
2.10.5. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.
2.10.6. Оператор не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
2.11. Способы обработки персональных данных.
2.11.1. Персональные данные Пользователей Сайта обрабатываются исключительно с использованием средств автоматизации.
2.12. Права субъектов (Пользователей) персональных данных.
2.12.1. Пользователь имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному субъекту персональных данных (Пользователю), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
2.12.2. Пользователь имеет право на получение от Оператора при личном обращении к нему либо при получении Оператором письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Федеральным законом или другими федеральными законами;
– требовать изменения, уточнения, уничтожения информации о самом себе;
– обжаловать неправомерные действия или бездействие по обработке персональных данных и требовать соответствующей компенсации в суде;
– на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
– определять представителей для защиты своих персональных данных;
– требовать от Оператора уведомления обо всех произведенных в них изменениях или исключениях из них.
2.12.3. Пользователь имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
2.12.4. Пользователь персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
2.13. Обязанности Оператора.
2.13.1. По факту личного обращения либо при получении письменного запроса субъекта персональных данных или его представителя Оператор, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.13.2. Все обращения субъектов персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
2.13.3. В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.
2.13.4. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.
2.13.5. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
2.13.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
2.13.7. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
2.13.8. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
2.14. Режим конфиденциальности персональных данных.
2.14.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
2.14.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.
2.14.3. В соответствии с перечнем персональных данных, обрабатываемых на сайте, персональные данные Пользователей Сайта являются конфиденциальной информацией.
2.14.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

3. Обработка персональных данных
3.1. Перечень обрабатываемых персональных данных Пользователей:
– фамилия;
– имя;
– отчество;
– пол;
– дата рождения;
– мобильный телефон;
– электронная почта.
3.2. Лица, имеющие право доступа к персональным данным.
3.2.1. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
3.2.2. Перечень лиц, имеющих доступ к персональным данным, утверждается генеральным директором Оператора.
3.3. Порядок и сроки хранения персональных данных на Сайте.
3.3.1. Оператор осуществляет только хранение персональных данных Пользователей на Сайте.
3.3.2. Сроки хранения персональных данных Пользователей на Сайте определены условиями Пользовательского соглашения, вводятся в действие с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои персональные данные с Сайта.
3.3.3. В случае удаления данных с Сайта по инициативе одной из сторон, а именно прекращения использования Сайта, персональные данные Пользователя хранятся в базах данных Оператора пять лет в соответствии с законодательством РФ.
3.3.4. По истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.
3.3.5. Оператором не ведется обработка персональных данных Пользователей на бумажных носителях информации.
3.4. Блокирование персональных данных.
3.4.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
3.4.2. Оператор не передает персональные данные третьим лицам и не поручает обработку персональных данных сторонним лицам и организациям. Персональные данные Пользователей Сайта обрабатывают только сотрудники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Пользователей.
3.4.3. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.
3.5. Уничтожение персональных данных.
3.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.
3.5.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.5.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных.
3.5.4. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

4. Система защиты персональных данных
4.1. Меры по обеспечению безопасности персональных данных при их обработке.
4.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.1.2. Обеспечение безопасности персональных данных достигается, в частности:
– определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
– применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учетом машинных носителей персональных данных;
– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.1.3. Для целей Положения под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2. Защищаемые сведения о субъекте персональных данных.
К защищаемым сведениям о субъекте персональных данных на Сайте относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Положением.
4.3. Защищаемые объекты персональных данных.
4.3.1. К защищаемым объектам персональных данных на Сайте относятся:
– объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные;
– информационные ресурсы (базы данных, файлы и др.), содержащие информацию об информационно-телекоммуникационных системах, в которых циркулируют персональные данные, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
– каналы связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
– отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.3.2. Технологическая информация об информационных системах и элементах системы защиты персональных данных, подлежащая защите, включает:
– сведения о системе управления доступом на объекты информатизации, на которых осуществляется обработка персональных данных;
– управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
– технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
– характеристики каналов связи, которые используются для передачи персональных данных в виде информативных электрических сигналов и физических полей;
– информация о средствах защиты персональных данных, их составе и структуре, принципах и технических решениях защиты;
– служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки персональных данных.
4.4. Требования к системе защиты персональных данных.
Система защиты персональных данных должна соответствовать требованиям постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.4.1. Система защиты персональных данных должна обеспечивать:
– своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
– недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
– возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– постоянный контроль за обеспечением уровня защищенности персональных данных.
4.4.2. Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.
4.5. Методы и способы защиты информации в информационных системах персональных данных.
4.5.1. Методы и способы защиты информации в информационных системах персональных данных Оператора должны соответствовать требованиям:
– приказа ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (в случае определения Оператором необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).
4.5.2. Основными методами и способами защиты информации в информационных системах персональных данных Пользователей являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от НСД).
4.5.3. Выбор и реализация методов и способов защиты информации на Сайте осуществляется в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых Оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.
4.5.4. Выбранные и реализованные методы и способы защиты информации на Сайте должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке.
4.6. Меры защиты информации, составляющей персональные данные.
4.6.1. Меры по охране баз данных, содержащих персональные данные, принимаемые Оператором, должны включать в себя:
– определение перечня информации, составляющей персональные данные;
– ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
4.6.2. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
– исключается доступ к персональным данным любых третьих лиц без согласия Оператора;
– обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;
– при работе с Пользователем устанавливается такой порядок действий Оператора, при котором обеспечивается сохранность сведений, содержащих персональные данные Пользователя.
4.6.3. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4.7. Ответственность.
4.7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями законодательства РФ.
4.7.2. Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством РФ ответственность.
4.7.3. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку персональных данных.

5. Заключительные положения
5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
5.3. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.

Закон о персональных данных №152-ФЗ

Закон о персональных данных, который вступил в силу 1 июля 2011, касается практически любой компании, а сами данные являются желанной добычей злоумышленников.

К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.

• Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Зачем России этот закон

Поводом для принятия закона о защите персональных данных стала необходимость устранения барьеров в международной торговле со странами Евросоюза. Осуществление обмена персональными данными, зачастую необходимыми при совершении сделок, возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. Для сравнения, в Норвегии и Франции подобные законы были введены еще в конце девятнадцатого столетия. Осенью 2005 года Государственная дума ратифицировала конвенцию Совета Европы «О защите личности в связи с автоматической обработкой персональных данных».

По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

Как утверждали и меняли закон

Передачу персональных данных на зарубежные сервера планируется ограничить

Минкомсвязь России подготовила в мае 2017 года поправки в закон «О персональных данных», которые предполагают ограничение передачи персональных данных на зарубежные сервера российских компаний.

Как пишут «Известия», в настоящее время ограничения касаются передачи данных зарубежным юрлицам. Сервера российских компаний, находящиеся за рубежом, под это ограничение не подпадают.

Поправки, подготовленные министерством, предполагают применять формулировку «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства».

Депутаты ужесточили наказание за нарушения в работе с персональными данными

Госдума приняла в начале 2017 года закон об увеличении штрафов за нарушение закона о сборе, обработке и хранении персональных данных.

За нарушения в работе с персональными данными для юрлиц предусмотрен штраф до 10 тыс. руб. Однако, по мнению авторов закона, действующая норма не учитывает тяжесть негативных последствий правонарушения, поэтому депутаты предложили ужесточить наказание.

Теперь за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо обработку данных, несовместимую с целями сбора таких данных, будут наказывать предупреждением или штрафом от 1 до 3 тыс. руб. для граждан, от 5 до 10 тыс. руб. для должностных лиц и от 30 до 50 тыс. руб. для юридических лиц.

Обработка персональных данных без согласия гражданина приведёт к наложению штрафа в размере от 3 до 5 тыс. руб. для граждан, от 10 до 20 тыс. руб. для должностных лиц и от 15 до 75 тыс. руб для юридических лиц. При невыполнении государственным или муниципальным оператором требований по обезличиванию данных должностные лица получат штраф от 3 до 6 тыс. руб.

Отказ оператора предоставить человеку информацию об обработке его персональных данных повлечёт предупреждение или штраф от 1 до 2 тыс. руб для граждан, от 4 до 6 тыс. руб. для должностных лиц, от 10 до 15 тыс. руб. для индивидуальных предпринимателей и от 20 до 40 тыс. руб. для юридических лиц.

В правительстве считают, что подобные поправки позволят эффективно защищать права и интересы граждан и позволят обеспечить неотвратимость наказания.

Изменения в законе с 1 сентября 2015 года

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке.

В июле 2006 года был принят федеральный закон №152-ФЗ «О персональных данных». Закон вступил в силу в январе 2007 года.

В декабре 2009 г., Госдума успела в трех чтениях принять перенос срока приведения ранее созданных ИСПДн в соответствие с требованиями ФЗ «О персональных данных» с 1 января 2010 г. на 1 января 2011 г.

Законопроект об очередной отсрочке был принят Госдумой в первом чтении 7 декабря 2010 г. Изначально в законопроекте предлагалось перенести сроки вступления в силу закона «О персональных данных» еще на год – до 1 января 2012 г.

Федеральным законом предусматривается, что информационные системы персональных данных (ИСПДн), созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями ФЗ «О персональных данных» не позднее 1 июля 2011 г. Таким образом, вступление в силу требований закона «О персональных данных» было отсрочено еще на полгода.

Федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`» был принят Госудумой 10 декабря и одобрен Советом Федерации 15 декабря 2010 г.

В декабре 2010 года президент России Дмитрий Медведев подписал федеральный закон «О внесении изменений в статью 25 Федерального закона `О персональных данных`».

Кого касаются требования

Требования к обеспечению безопасности персональных данных касаются практически всех. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, биллинговые системы, call-центры и автоматизированные системы бюро пропусков. Даже если секретарь просто набирает у себя в компьютере список сотрудников с телефонами и днями рождений – эта информация должна быть защищена.

С другой стороны, уже, несомненно, назрела реальная необходимость обеспечивать адекватную защиту персональных данных. C каждым днем увеличивается как ценность информации, так и изощренность способов, которыми ее можно несанкционированно получить. И, если и не самыми ценными, то, по крайней мере, самыми популярными для злоумышленников являются персональные данные. По материалам исследования компании InfoWatch в 2009 году среди всех зарегистрированных утечек информации персональные данные составили 89,8%.

В итоге согласно Федеральному закону №242-ФЗ, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России с использованием баз данных, находящихся на территории РФ.

Ответственность за невыполнение требований

Инспекторы могут наложить штраф, принять решение о конфискации несертифицированых средств защиты или вынести требование о прекращении обработки персональных данных, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку персональных данных с нарушением закона, несёт риски, связанные с возможными гражданскими исками от субъектов персональных данных, особенно в случаях утечки таких данных.

Президент России Владимир Путин подписал закон о внесении изменений в Кодекс РФ об административных правонарушениях, который регулирует защиту персональных данных. Согласно закону, статья кодекса под номером 13.11 получила новую редакцию и новое название – «Нарушение законодательства РФ в области персональных данных». Изменения вступят в силу с 1 июля 2017 г.

Прежнее название статьи 13.11 звучит как «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». За соответствующие нарушения существует наказание в виде предупреждения или административного штрафа. Для обычных граждан сумма штрафа составляет от p300 до p500, для должностных лиц – от p500 до p1 тыс. Юридические лица платят от p5 тыс. до p10 тыс.

С 1 июля 2017 г., если обработка персональных данных выходит за рамки случаев, предусмотренных законодательством, или является несовместимой с целями сбора данных, то за нее следует наказание в виде предупреждения или штрафа. Для обычных граждан штраф составит от p1 тыс. до p3 тыс., для должностных лиц – от p5 тыс. до p10 тыс., для юридических лиц – от p30 тыс. до p50 тыс. Все это – только в том случае, если такая обработка данных не содержит уголовно наказуемой составляющей.

В ряде случаев законодательство требует получить письменное согласие субъекта на обработку персональных данных. Если это согласие не получено, а данные тем не менее обрабатываются, нарушитель выплачивает штраф. Для граждан сумма штрафа составит от p3 тыс. до p5 тыс., для должностных лиц – от p10 тыс. до p20 тыс., для юридических лиц – от p15 тыс. до p75 тыс. Это же наказание применяется, если изменен состав сведений, на обработку которых дал согласие субъект.

Если оператор не обеспечил доступ к документу, где изложена его политика в отношении обработки персональных данных, то этот оператор получает предупреждение или платит штраф. Для обычных граждан сумма штрафа составит от p700 до p1,5 тыс. Должностные лица будут платить от p3 тыс. до p6 тыс. Индивидуальные предприниматели будут штрафоваться на сумму от p5 тыс. до p10 тыс., юридические лица – от p15 тыс. до p30 тыс.

Срок, в течение которого нарушителя следует привлечь к ответственности по статье 13.11, по-прежнему составляет 3 месяца, но теперь в него легче будет уложиться, поскольку процедура значительно сократилась. Дело в том, что раньше протоколы о нарушении этой статьи составлялись прокуратурой, а с 1 июля 2017 г. этим займутся чиновники Роскомнадзора и его региональных подразделений.

То есть, сейчас Роскомнадзор, выявив нарушение, обращается за протоколом в прокуратуру, и уже она направляет этот протокол в суд. Согласно новому закону, прокуратура выпадает из процесса. Это должно ускорить ход подобных дел. Если сейчас штрафы часто не взимаются из-за истечения срока давности, то с 1 июля 3 месяцев должно быть вполне достаточно [1] .

Что мешает соблюдать закон?

Во-первых, серьезным препятствием являются технические проблемы. Несмотря на то, что обязательство использовать шифровальные (криптографические) средства было снято в новой редакции закона, операторы обязаны использовать комплекс технических и организационных средств защиты в соответствии с классом их системы. Мало того, для организации соответствующей защиты чаще всего компании необходимо практически полностью обновить парк технических средств. Компании специализированные или имеющие соответствующий штат, могут самостоятельно внедрять системы безопасности для защиты корпоративной информации, в том числе, включающей в себя и персональные данные о контрагентах и сотрудниках. Другие компании, которые по тем или иным соображениям не желают заниматься вопросами безопасности самостоятельно, обращаются в специализированные фирмы. Но в конечном итоге выбор средств защиты ложится на плечи того, кто их оплачивает, и война экономии и безопасности неизбежна. Выполнение формальных требований ФЗ-152 не обеспечивает реальную защиту конфиденциальной информации, в том числе персональных данных, от утечки и иных внутренних угроз.

Во-вторых, это проблемы с сертификацией. Ведь с точки зрения законодательства во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте. И не исключено, что некоторые компании ограничатся только расходами на лицензирование. Уже сейчас, пробежавшись по первому десятку компаний из поисковой системы, которые занимаются аутсорсингом в сфере защиты информации, можно заметить, что большинство из них делают акцент не на разработку систем защиты, а на помощь в сборе документов для получения лицензии.

Третьей существенной проблемой на пути успешного внедрения закона является разбалансированность операторского рынка. В действительности необходимо различать требования безопасности, предъявляемые к разным источникам данных. Операторы данных могут напоминать в этой ситуации слепых котят — все разнообразие методов и способов защиты информации подведено регуляторами под одну гребенку, а существующие объединения на рынке решают вопросы узкого круга компаний и не отстаивают интересы участников рынка в целом.

Защита персональных данных

Хронология событий

Facebook и Twitter выполнят требования российского законодательства

Крупные американские компании Facebook и Twitter выполнят требования закона «О персональных данных». Facebook планирует создать российское представительство, а Twitter перенести на территорию РФ серверы с персональными данными россиян, сообщают в ноябре 2017 года «Известия» со ссылкой на свои источники.

По словам представителей Роскомнадзора, в адрес ведомства пришло письмо от компании Twitter, подтверждающее готовность социальной сети локализовать базы данных на территории РФ к середине 2018 года. Реализация договоренности находится на постоянном мониторинге службы, однако пока проведение контрольных мероприятий не планируется, отметили в ведомстве.

Как сообщают собеседники издания, Facebook также решила выполнить требования законодательства и готовится открыть в России свое представительство. Представители компании ищут в России офис и руководителя местного подразделения. По словам экспертов, данный шаг может быть обусловлен тем, что заработок Facebook на российском рынке стал достаточно значимым для компании. В 2016 году Facebook могла заработать в России от $70 млн до $100 млн, рост этого показателя в 2017 году может составить 25–30%. В то же время неизвестно, собирается ли Facebook последовать примеру Twitter и перенести серверы с персональными данными россиян на территорию РФ.

Анализ типовых нарушений в области персональных данных

По данным регулятора, наиболее распространенным нарушением в данной сфере является предоставление оператором уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения. На втором месте – непринятие мер для выполнения обязанностей, предусмотренных законом «О персональных данных».

По результатам 65 % плановых проверок, проведенных в первом полугодии 2017 года, выявлены нарушения обязательных требований законодательства Российской Федерации в области персональных данных

Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 11 %
ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

• 1) наименование (фамилия, имя, отчество), адрес оператора;
• 2) цель обработки персональных данных;
• 3) категории персональных данных;
• 4) категории субъектов, персональные данные которых обрабатываются;
• 5) правовое основание обработки персональных данных;
• 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
• 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
• 8) дата начала обработки персональных данных;
• 9) срок или условие прекращения обработки персональных данных;
• 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• 10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
• 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами – 9 %
ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации – 7 %
пп. а п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687

Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения:

• о цели обработки персональных данных, осуществляемой без использования средств автоматизации,
• имя (наименование) и адрес оператора,
• фамилию, имя, отчество и адрес субъекта персональных данных,
• источник получения персональных данных,
• сроки обработки персональных данных,
• перечень действий с персональными данными, которые будут совершаться в процессе их обработки,
• общее описание используемых оператором способов обработки персональных данных.

Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных – 7 %

Согласно ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации – 6 %
п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687

Должны быть проинформированы:

• о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации,
• категориях обрабатываемых персональных данных,
• об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации – 6 %
ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

• 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• 4) цель обработки персональных данных;
• 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• 9) подпись субъекта персональных данных.

Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ – 6 %
п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687 .

Twitter переносит персональные данные пользователей в Россию

В апреле 2017 года стало известно, что соцсеть Twitter начнет хранить персональные данные россиян, имеющиеся в ее распоряжении, на территории России, как того требует закон «О персональных данных». Перенос информации на российские сервера планируется осуществить к середине 2018 г. Сейчас компания определяет, какие именно данные будут перемещаться. Об этом сообщил Роскомнадзор, получивший письмо с уведомлением от вице-президента Twitter по вопросам публичной политики в Европе, Азии и на Ближнем Востоке Шинейд МакСуини (Sinead McSweeney).

Суд посчитал передачу обезличенных данных нарушением закона

Роскомнадзор выявил нарушения в связи с передачей пользовательских данных. Как сообщил «Известиям» представитель регулятора Ампелонский Вадим, речь идет о многочисленных фактах заключения операторами договоров о передаче сторонним компаниям. Это обнаружилось после проверок, проведенных Роскомнадзором по поручению президента. О точном количестве нарушений и компаний-нарушителей не сообщается.

Известно, однако, что МГТС собирала данные о трафике пользователей, присваивая каждому из них индивидуальный номер, и передавала их партнерам. Несмотря на то, что данные были обезличены и включали поисковые запросы и адреса посещенных страниц, суд решил, что этого достаточно для идентификации конкретных пользователей. На основе этого пользователям показывается персонифицированная реклама.

«Рекламодатель персонифицировано направляет определенную рекламу в зависимости от предпочтений субъекта, просмотренных интернет-страниц, товаров, работ, услуг и т.п.», — цитирует издание выдержку из судебных материалов.

По данным издания, оператор был оштрафован на 30 тыс. рублей. В компании с решением не согласны, однако передача данных была прекращено.

«МГТС не передавала третьим лицам сведения об абонентах. Речь шла только об обезличенных данных. Такая информация постоянно накапливается в поисковых системах без согласия пользователей, и проконтролировать дальнейшую ее передачу невозможно. Запретить использовать такую обезличенную информация можно лишь законодательно», — сказала директор по правовому обеспечению МГТС Ивана Никитина.

Вадим Ампелонский также отметил, что вопрос использования подобной информации недостаточно урегулирован. В свою очередь, представители рынка считают, что проверки свидетельствуют о начале работы по ужесточению законодательства в данной сфере.

В России заблокирован LinkedIn

В России заблокировали сеть профессиональных контактов LinkedIn. Суд закрыл доступ к сервису по иску Роскомнадзора: ведомству не понравилось, что компания всё еще хранит персональные данные российских пользователей на серверах, расположенных за пределами РФ. Регулятор направил предписание о блокировке LinkedIn провайдерам 17 ноября. Блокировка касается и сайта, и мобильного приложения социальной сети.

Минкомсвязи России хочет ужесточить процедуру согласия на обработку персональных данных

Российское министерство связи и массовых коммуникаций выступило за ужесточение на законодательном уровне процедуры дачи согласия на обработку персональных данных.

Процедура дачи согласия на обработку персональных данных должна быть законодательно ужесточена. Такую позицию ведомства высказал замминистра связи РФ Алексей Соколов.

Чиновник подчеркнул, что «наши граждане зачастую дают подобного рода согласие без четкого понимания правовых последствий и возможного их в дальнейшем использования». Именно по этой причине министерство и выступило с подобной инициативой – в рамках закона усовершенствовать как саму процедуру, так и порядок дачи согласия на обработку личной информации. Более того, как отметил Соколов, на данный момент прорабатывается возможность создания государственного ресурса, на котором бы велся учет данных согласий гражданами на обработку персональной информации для того, чтобы контролировать их использование.

Минкомсвязи также предлагает на законодательном уровне разграничить и выработать подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Чиновник отмечает: «Одной из наиболее обсуждаемых проблем является, так называемые, большие данные. Действующее законодательство не содержит такого или близкого по смыслу понятия, но устанавливает, что обработка персональных данных допускается для достижения конкретных, заранее обозначенных целей, после чего они подлежат обезличиванию или уничтожению. Таким образом, в интернет-сервисах накапливается огромный массив обезличенных персональных данных, не позволяющих идентифицировать личность. Кроме того, стремительное развитие интернета вещей, различного вида счетчиков, датчиков, бытовой техники порождает значительный объем иного вида данных, которые также не могут быть отнесены к персональным данным. С учетом этого, необходимо на законодательном уровне проработать вопрос разграничения и выработать различные подходы нормативно-правового регулирования обработки персональных данных, обезличенного массива персональных данных и результатов деятельности интернета вещей. Наши предложения будут готовы в первой половине 2017 года» [2] .

Полномочия по надзору за обработкой персональных данных россиян отдадут РКН

Премьер-министр России Дмитрий Медведев поручил летом 2016 года правительству внести на рассмотрение Госдумы подготовленный Минкомсвязью законопроект, который наделит Роскомнадзор необходимыми полномочиями для осуществления контроля и надзора за обработкой персональных данных. Такая информация содержится в материалах правительства.

Отмечается, что законопроект направлен на устранение правовой неопределенности в законодательстве. Так, в настоящий момент в России обязанность контролировать обработку персональных данных граждан в соответствии с законом не закреплена ни за одним органом. Эти полномочия и хотят закрепить за Роскомнадзором.

2012: Дмитрий Медведев утвердил изменения требований к защите персданных

Премьер-министр РФ Дмитрий Медведев 1 ноября 2012 года утвердил изменения требований к защите персональных данных при их обработке в информационных системах персональных данных. Соответствующий документ был опубликован на сайте правительства России.

Участники рынка утверждают, что меры хоть и позитивно скажутся на отрасли в целом, но их явно недостаточно и они до сих пор носят слишком консервативных характер.

Постановлением правительства устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Документ позволит операторам информационных систем, обрабатывающих персональные данные, определить требуемый уровень защищенности персональных данных, что в дальнейшем значительно упростит процедуру определения необходимых и достаточных мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

По словам ведущего инженера по ИБ департамента системной интеграции компании «Микротест» Сергея Борисова, новое постановление Правительства сократило количество обязательных требований до 14 против 34 в предыдущем документе. «Однако, на мой взгляд, новое постановление не облегчило жизнь компаниям», — сказал Сергей Борисов. — самое обременяющее требование — необходимость сертификации СЗИ — осталось обязательным для всех ИСПДн».

«Следующий пункт — классификация ИСПДн», — продолжил он. — Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту».

Еще одной проблемой нового постановления Сергей Борисов видит утрату юридической значимости большей части документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. «Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно», — подытожил Борисов.

Сергей Борисов видит в новом постановлении Правительства потенциальный рост расходов компаний на защиту персональных данных в связи с тем, что большая часть данных, которые раньше относились в малозначительным, сейчас переведены в другую категорию, требующую более высокую степень защиты.

Эксперты Российской ассоциации электронных коммуникаций уверены, что в настоящее время законодательство о персональных данных не учитывает современного уровня развития интернета и существенно замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

РАЭК продолжает настаивать на создании межведомственной рабочей группы с участием представителей интернет-отрасли, экспертов по информационной безопасности, представителями Минкомсвязи РФ, Минэкономразвития РФ, ФСБ, ФСТЭК, Роскомнадзора для более четкого формулирования позиций отрасли по вопросам законодательства и его изменения. В частности, в приведении в соответствии с международным законодательством и стандартам существующих документов и постановлений.

Жилищный кодекс и персональные данные

16 июня 2011 года вступил в силу Федеральный закон от 4 июня 2011 года № 123-ФЗ «О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации», статья 5 которого внесла очередную новеллу в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Корректировке подверглась часть 2 статьи 6 ФЗ-152, дополненная новым пунктом следующего содержания:

«5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;…»

Вышеуказанный пункт дополнил ряд ситуаций, когда оператору персональных данных не требуется получать согласие субъекта на обработку персональных данных.

С одной стороны, эта поправка логично вписывается в новый правовой режим управления многоквартирными домами, который на уровне федерального законодательства закрепляет права и обязанности участников соответствующих общественных отношений и определяет специфику данных отношений. С точки зрения законодательства о персональных данных рассматриваемое изменение не вносит принципиальных изменений в существующий режим регулирования обработки и защиты персональных данных, но в определенной степени упрощает жизнь многочисленным организациям, осуществляющим управление многоквартирными домами, а также предоставление коммунальных услуг и осуществления расчетов с собственниками помещений.

С другой стороны, появление очередного исключения наводит на грустные мысли о целостности и применимости норм института согласия субъектов на обработку их персональных данных. В тексте поправки четко оговаривается условие отсутствия необходимости в получении согласия: обработка персональных данных происходит в связи с нормами Жилищного кодекса Российской Федерации либо в связи положениями соответствующего договора. Но вышеприведенное условие фактически дублирует содержание пунктов 1 и 2 части 2 статьи 6 ФЗ-152. Таким образом, законодатель спускается от уровня регулирования типовых ситуаций (например, обработка персональных данных в связи с исполнением положений договора) до уровня регулирования конкретных ситуаций (договорных отношений в сфере ЖКУ). Кроме того, происходит девальвация значения и ценности других норм института согласия субъектов на обработку их персональных данных (в частности, пунктов 1 и 2 части 2 статьи 6 ФЗ-152).

Проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5

Проектом федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» № 535056-5 предлагается привести в соответствие законодательство Российской Федерации c вступающими в силу 1 июля 2011 года нормами пункта 2 статьи 7 Федерального закона № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». В соответствии с указанной нормой, органы, предоставляющие государственные услуги, и органы, предоставляющие муниципальные услуги, не вправе требовать от заявителя предоставления документов и информации, которые находятся в распоряжении государственных органов, органов местного самоуправления.

Пунктом 2 статьи 1 вышеуказанного законопроекта уточняется порядок и условия обработки персональных данных заявителей и иных лиц в связи с предоставлением государственных или муниципальных услуг. В частности, предлагается закрепить в ст. 7 Федерального закона «Об организации предоставления государственных и муниципальных услуг» норму, согласно которой: «Для обработки государственными органами, органами местного самоуправления и организациями, участвующими в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, персональных данных, имеющихся в распоряжении таких органов и организаций, для предоставления таких персональных данных в орган (организацию) предоставляющий государственную или муниципальную услугу по запросу заявителя, не требуется получение согласия субъекта персональных данных, по запросу которого осуществляется обработка, в соответствии с требованиями пункта 1 части 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Запрос заявителя в орган (организацию) о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в целях предоставления органом (организацией) соответствующей государственной или муниципальной услуги.

Комментарий от компании ИнфоТехноПроект: Согласно ч. 1 ст. 6 Федерального закона «О персональных данных» основным условием обработки персональных данных субъектов является наличие согласия самого субъекта. Частью 2 вышеуказанной статьи установлены случаи, когда согласие субъекта персональных данных не требуется. В вышеприведенной цитате из текста законопроекта присутствует прямое указание на одно из подобных исключений, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Таким образом, операторы персональных данных («…государственные органы, органы местного самоуправления и организации, участвующими в предоставлении… государственных и муниципальных услуг…») будут избавлены от необходимости получать согласие субъекта на обработку его персональных данных, по запросу которого осуществляется обработка. Тем не менее, далее по тексту авторы законопроекта предлагают считать запрос субъекта (заявителя) о предоставлении ему государственной или муниципальной услуги эквивалентом согласия заявителя с обработкой его персональных данных. Необходимость этого уточнения представляется сомнительной в свете вышеизложенной ссылки на отсутствие необходимости в получении согласия субъекта. Введение такого уточнения ставит под сомнение существование каких-либо Федеральных законов (кроме ТК РФ), которые вообще можно считать попадающими под действие исключения, предусмотренного п.1 ч.2 ст.6 №152-ФЗ.