Правила обработки пдн

Как обрабатывать ПД в РФ и не нарушать закон

Правила обработки пдн
В нашем блоге мы часто затрагиваем вопросы, касающиеся работы с персональными данными. Мы говорили об изменениях, связанных со вступлением в силу европейского регламента GDPR, разбирались, почему многие компании оказались к нему не готовы, а также рассказывали о нововведениях социальных медиа, связанных с новым законом.

В сегодняшнем материале мы решили отметить тонкости обработки ПД пользователей в России.
/ фото AJEL PD
В РФ работу с персональными данными пользователей регламентирует закон №152-ФЗ «О персональных данных».

Согласно статье 3, под ПД стоит понимать любые сведения, прямо или косвенно относящиеся к определенному физическому лицу (субъекту ПД). Однако к сожалению, в законе нет перечня, который бы указывал, что можно, а что нельзя считать персональными данными.

Однако в сети можно найти различные списки, составленные отдельными ведомствами и организациями, которые проясняют ситуацию. Например, на сайте управления РКН по Камчатскому краю приводится перечень данных, которые попадают под категорию персональных: в нем числится ФИО, образование и уровень доходов.

Отдельные операторы ПД также формируют собственные списки. Например, у АО «Восточно-Сибирский транспортный коммерческий Банк» в нем около 30 категорий. В многопрофильной школе №17 около 40 категорий ПД, которые обрабатываются информационными системами.

Подобная формулировка закона и самые разные примеры, сформированные отдельными организациями, приводят к тому, что установить, считаются ли данные персональными бывает затруднительно. Поэтому в РКН предлагают решение.

Нужно задать вопрос, позволяют ли эти данные понять, кому именно они принадлежат? Например, просто имя не дает понимания, о каком конкретно человеке идет речь, а вот ФИО — уже дает (конечно, данный подход заслуживает отдельного обсуждения).

В законе №152-ФЗ сказано, что оператор ПД — это государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных, а также определяющие цели их обработки и состав. И такие компании попадают под действие статей 5 и 6 упомянутого закона, описывающие принципы и условия работы с ПД пользователей. В них сказано, что операторы обязаны следовать определенным правилам:

  1. Оператор обязан получить согласие владельца ПД на их обработку. Человек должен знать, какую информацию о себе он предоставляет и для чего (на «Хабре», например, прописаны политики обработки ПД, где эти моменты обозначены). При этом оператор обязан по требованию проинформировать пользователя о том, какие его данные он хранит.
  2. Оператор обязан придерживаться целей обработки данных, прописанных в политиках, то есть он может запрашивать только те данные, которые нужны для выполнения той или иной задачи. Запрашивать лишние данные «на всякий случай» запрещено. К примеру, для регистрации учетной записи пользователя в онлайн-магазине нельзя просить номер паспорта. Однако если речь идет о ресурсе какой-либо госорганизации, то здесь запрос паспортных данных может быть оправдан.
  3. Хранить данные можно до тех пор, пока они нужны для выполнения цели их обработки. После этого оператор обязан их удалить или обезличить.

/ фото Cal Injury Lawyer PD
Бывает, что реализовать все требования к обработке ПД довольно сложно и трудоемко. Однако ФЗ-152 не говорит, какими техническими средствами обязан пользоваться оператор при обработке данных. В пункте 3 статьи 6 ФЗ-152 прописано, что он может поручить обработку ПД кому-то другому, если владелец ПД даст на это свое согласие.

Поэтому многие компании отдают задачу выполнения требований закона на аутсорс: к примеру, облачным провайдерам, предоставляющим услугу «Облако ФЗ-152». Она позволяет арендовать инфраструктуру с полным набором административных (и технических) механизмов защиты ПД.

Однако в этом случае также есть нюансы, о которых следует помнить. Сперва нужно подписать договор с облачным провайдером, в котором указать цели обработки данных, список проводимых действий над ПД и механизмы их защиты. Причем комплекс защитных мер должен строиться согласно правилам, описанным в статье 19 закона о ПД.

Помимо этого, в договоре важно определить зоны ответственности: за что отвечает оператор, а за что — провайдер. Для этого оператор должен:

  1. Определить уровень защищенности информационной системы ПД;
  2. Понять, какие меры безопасности из статьи 19 сможет обеспечить он сам, а какие нужно поручить провайдеру;
  3. Построить модель актуальных угроз в собственном сегменте информационной системы и внедрить необходимые меры безопасности со своей стороны.

В свою очередь, облачный провайдер должен сделать следующее:

  1. Получить лицензии Минкомсвязи (если оператор планирует передавать данные или работает с телематическими услугами), а также ФСБ и ФСТЭК;
  2. Понять, что может угрожать данным в облаке и максимально защитить их;
  3. Помочь заказчику с реализацией мер защиты на клиентской стороне и предоставить ему возможность развернуть дополнительные средства безопасности (с помощью PaaS или IaaS).

При этом важно помнить, что согласие на обработку персональных данных пользователей все также получает оператор — это не входит в список обязанностей облачного провайдера. Это требование прописано в третьем и четвертом пунктах статьи 6 ФЗ. Таким образом, ответственность перед владельцем ПД за действия провайдера несет оператор. Однако провайдер отвечает за свои действия перед оператором. Например, провайдер не выполнил условия договора и допустил утечку ПД. Владельцы ПД этим очень недовольны. В этом случае провайдер будет отвечать за последствия перед оператором, а оператор — перед пострадавшими людьми.

Чтобы свести число неприятных ситуаций к минимуму, при выборе облачного провайдера оператору стоит запросить у провайдера документ, который подтверждает прохождение аудита на соответствие декларируемому уровню защищенности. Также стоит попросить его показать модель защиты выделенного сегмента облака от потенциальных угроз, а также оценить способы резервного копирования и восстановления данных.

В июле прошлого года в силу вступил новый ФЗ, согласно которому штрафы за нарушение закона об обработке персональных данных в России составляют от 1 до 75 тыс. руб. Например, штраф за обработку ПД без согласия пользователя составляет от 3 до 5 тыс. рублей для физических лиц и от 30 до 75 тыс. рублей для юрлиц. А отказ предоставить владельцу ПД информацию о том, как обрабатываются его данные, может лишить юрлицо 20–40 тыс. рублей.

Уже были случаи, когда компании штрафовали за нарушения в сфере обработки ПД. Например, кейс ООО «ТГЮК», где компанию привлекли к ответственности за то, что на её сайте к форме обратной связи не прилагалось соглашение о конфиденциальности.

Всем, кто собирает, обрабатывает, хранит ПД или поручает операции с ними другим лицам, важно оценить все эти процессы на предмет соответствия закону. Для этого мы предлагаем воспользоваться следующим чек-листом:

  • Зарегистрируйтесь в Роскомнадзоре как оператор ПД.
  • Определите цель обработки ПД и не используете данные пользователей «не по назначению» (например, не стоит включать пользователя в рассылку с информацией об акциях по электронной почте, на получение которой он не соглашался).
  • Предупредите пользователя, что его персональные данные будут обрабатываться. Получите его согласие на это.
  • В случае если вы планируете воспользоваться услугой «Облако ФЗ-152», то заключите соответствующий договор с провайдером, в котором укажите обязанности сторон и цели использования ПД пользователей.
  • Внедрите меры защиты, указанные в статье 19 ФЗ-152.
  • Проверяйте систему на наличие устаревших или неполных данных о клиентах. Их нужно удалить или обезличить.
  • Дополнительно проведите инструктаж с персоналом компании о тонкостях обработки ПД пользователей.

Это позволит выделить потенциальные слабые места, реализовать недостающие защитные меры и избежать штрафов или потенциальных судебных исков. P.S. Материалы по теме из Первого блога о корпоративном IaaS: P.P.S. Другие статьи из нашего блога на Хабре:

Основное направление деятельности компании ИТ-ГРАД — предоставление облачных сервисов:

Виртуальная инфраструктура (IaaS) | PCI DSS хостинг | Облако ФЗ-152 | Аренда 1С в облаке

Источник: https://habr.com/ru/company/it-grad/blog/416131/

Правила обработки и защиты персональных данных в федеральном законе 152-ФЗ – Институт Профессионального Кадровика

Правила обработки пдн
16 октября

1975

#CNT# data-template-html-inactive=В избранное #CNT#>

Закон о персональных данных включил в обязанности Роскомнадзора наблюдение за защитой конфиденциальной информации.  В 2020 году ужесточилась ответственность за обработку ПД, введены новые требования и правила, определен  регламент проведения проверок.

Чтобы не допустить ошибок и штрафов, необходимо знать законодательство в области обработки и защиты персональных данных.

Наш онлайн-курс сэкономит ваше время на изучении нормативных актов, поможет  грамотно организовать работу с личными сведениями работников. Учитывая последние требования No152 ФЗ «О персональных данных» с изменениями, вы успешно пройдете проверку Роскомнадзора.

Главные тезисы процесса обработки  по № 152- ФЗ «О персональных данных» — законность и справедливость. Регламент жестко требует    соответствия целей  характеру обрабатываемых данных:

  1. Заранее определите конечные задачи обработки ПДн, совпадающие с законодательными установками. Все действия с личными сведениями прекращаются по достижении намеченного результата. Если обработка персональной информации противоречит или не совпадает с целью сбора данных — она незаконна.
  2. Если обрабатываются разнородные массивы сведений с разными задачами, их интеграция недопустима.
  3. Непозволительно собирать чрезмерное количество персданных относительно задекларированной цели. Важно соблюдать соразмерность сути и объема ПД в сравнении с объявленным результатом.  

Необходимо соблюдение точности — закон 152-ФЗ указывает, что количество сведений должно быть достаточным для работы. Требование актуальности ПДн относительно цели соблюдайте при необходимости.

Если по форме ПДн можно установить субъекта, закон требует хранить такие сведения не дольше, чем требуется для получения результата их обработки. Это условие устанавливается, если отдельным законом, договором, в котором владелец ПД  поручитель, выгодоприобретатель или сторона не определено другое время хранения.

Важно!

Когда результат обработки конфиденциальных сведений о субъекте достигнут или потребность в дальнейших операциях отпала, искомые сведения уничтожают или обезличивают.

Статья, устанавливающая принципы обработки – ст. 5 закона 152-ФЗ о персональных сведениях.

В федеральном законе они определены в ст. 10-11 — специальные или биометрические, перечисляются разновидности конфиденциальных сведений. Выделяют специальные категории, среди которых — затрагивающие расу, национальность, политические, религиозные, философские принципы, здоровье, интимную жизнь.

Закон устанавливает порядок защиты персональных данных, относящихся к специальным — их обработка запрещена.  Даны исключения — перечень ситуаций, позволяющих совершать установленные действия с этими ПДн. Он исчерпывающий, не подлежит расширению. По устранению причин, приведших к необходимости обработки спецданных, операции с ними надлежит оперативно прекратить.

В ст. 11 законодатель дает понятие биометрических сведений — совокупности физиологических и биологических признаках субъекта, позволяющих  его идентифицировать.  Право на обработку персональных данных этой категории оператор получает при имеющемся у него разрешении владельца ПД (согласие на обработку). Часть 2 статьи комментирует разрешение использования биометрии без позволения владельца.

Глава 3 Закона о персональных данных 152-ФЗ дает расширенное толкование прав субъекта.  В статьях 14 -17 рассматриваются права на:

  • беспрепятственный допуск к личной информации;
  • согласие субъекта на использование его личных сведений в рекламных и прочих целях;
  • защиту от принятия юридически важных для персоны решений, основанных на личной информации, прошедшей обработку в ИСПДН;
  • возможность воспрепятствования таким решениям;
  • обжалование в суде незаконных действий или бездействия оператора ПД.  

О том, какую информацию разрешено открыть  субъекту персональных данных,  закон 152-фз говорит далее:

  • подтверждение того, что оператор обрабатывает его ПД;
  • доказательства необходимости обработки (основания и цели);
  • методы, механизмы обработки; перечень работников, имеющих допуск к персданным субъекта;
  • полный список обрабатываемых ПДн, источники их получения;
  • сколько времени будут обрабатываться и храниться данные;
  • как субъект сможет реализовать свои права в области ПД;
  • о передаче личной информации за рубеж;
  • информация о лицах, которые проводят обработку по поручению оператора.

Важно!

Если окажется, что персональные данные неполные, некорректные или избыточные/полученные с нарушением закона, владелец вправе требовать их коррекции, блокировки или уничтожения.

Принятые при сборе информации о субъекте меры должны быть достаточны для реализации требований федерального закона о персональных данных. Закон разрешает оператору самостоятельно выбирать, устанавливать способы охраны персональных сведений. Оператор вправе:

  • назначать ответственных лиц;
  • разрабатывать, издавать специальные локальные акты;
  • применять механизмы (правовые, технические, организационные), обеспечивающие безопасность ПД;
  • проводить внутренние проверки на предмет соответствия порядка обработки конфиденциальных данных федеральному закону 152-ФЗ, другим нормативным (локальным) требованиям;
  • оценивать потенциальный вред при нарушениях, соотносить его с осуществляемыми мерами безопасности;
  • обучать (знакомить) своих сотрудников с нормами защиты и обработки персональных данных— федеральными, локальными, другими.

Определена обязанность оператора по открытости и доступности информации, о том, какие требования защиты конфиденциальности он выполняет, о проводимой им политики в области обработки ПД.

Важно!

Как оператор обеспечивает сохранность конфиденциальных сведений при их обработке по федеральному закону о персональных данных 152 ФЗ:

  • определяет угрозы безопасности ПД на основании методик, разработанных уполномоченными органами госвласти;
  • соблюдает регламентированные Правительством степени защиты персданных, для этого применяет меры различного характера, обеспечивающие сохранение ПД при обработке в ИС в соответствии с нормотребованиями;
  • применяет средства защиты, прошедшие процедуру соответствия;
  • оценивает эффективность методов обеспечения безопасности до введения в эксплуатацию ИСПДн;
  • ведет учет съемных / встроенных носителей ПД;
  • принимает незамедлительные меры при выявлении несанкционированного доступа к ПД;
  • восстанавливает испорченные после несанкционированного доступа данные;
  • вводит регистрацию и учет всех манипуляций с ПД в ИСПДн, разрабатывает, утверждает правила допуска к системе;
  • контролирует меры безопасности, степени защищенности систем персональных данных.

Федеральный закон 152 определяет порядок действий оператора  персональных данных в следующих ситуациях:

  • если субъект обращается к нему непосредственно, либо в виде запроса от владельца ПД / его представителя – ст.20;
  • в каких ситуациях производятся  уточнение  или блокирование (уничтожение) личных сведений, прекращение обработки и в какие сроки – ст.21.  

Ст. 22 формулирует права и обязанности оператора по извещению Роскомнадзора о начале обработки персональных данных для осуществления учета. Определяет порядок направления уведомления, содержание уведомления, а также случаи, при которых его не требуется направлять.

Обязанности ответственного за обработку ПД на предприятии, порядок его назначения оператором определен статьей 22.1.

Глава 5 Закона посвящена порядку госконтроля за обработкой персданных. В ней подробно перечислены права, обязанности и общая деятельность Роскомнадзора в сфере обработки и защиты персональных данных и их субъектов. Законом No152-ФЗ также регламентирована ответственность за его неисполнение или нарушения.

Уважаемые читатели! Мы постарались понятным языком донести до вас, что такое обработка ПДн по 152-ФЗ. Понимаем, что в рамках статьи не получится разъяснить все нюансы законодательства.

Поэтому приглашаем вас записаться на онлайн-курс, в котором ведущие эксперты Валентина Митрофанова и Мария Финатова внятно и доходчиво расскажут, как правильно обрабатывать ПД, как избежать рисков при их обработке.

Источник: https://profkadrovik.ru/articles/working-conditions/requirements-no-152-fz-on-the-procedure-for-processing-of-personal-data-in-organisations/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.