Кто виноват? Уже высказано много эмоций по поводу виновности относительно недавних утечек. Однако давайте быстренько разберемся, как на все это можно посмотреть с точки зрения закона. Для примера возьмем случай, когда утекли именно полные паспортные данные например, из базы РЖД , ибо под это легче всего подвести законодательную базу.

Политика обработки персональных данных

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде. Объясняем термины человеческим языком Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля г. Первый термин, который требуется понимать, — персональные данные. Что такое персональные данные Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение.

По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже. Идём дальше. Правильно говорить не хранение, а обработка персональных данных.

В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных. Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия операции , совершаемые с персональными данными.

Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее. На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные.

Показываем на практике. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем? Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ — два. Компания, в облаке которой размещена база данных интернет-магазина. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно? Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий.

В соответствии с законодательством любую информационную систему персональных данных необходимо защищать. Методы защиты информации бывают разными. Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация. Техническими — c помощью специализированных средств защиты информации. Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

Пример Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Кажется, я обрабатываю персональные данные Итак, с терминологией разобрались. Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте. Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ. Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить. Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе. Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ и постановлении правительства от 1 ноября г. N Категории персональных данных простыми словами: Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения.

Общедоступные данные — это данные из СМИ или интернета. Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя. Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография. Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

Пример: врачебный диагноз информация о том, чем вы болели, когда, какой врач вас лечил. Персональные данные иных видов — сюда входят персональные данные, не вошедшие в указанные выше категории. Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу. Категория, количество, тип угроз — уровень защиты После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до тысяч или свыше тысяч.

Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации. Пример: Word, Excel. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте. Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе.

Всего сейчас существует четыре уровня защиты. Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице. Пример Больница обрабатывает персональные данные своих пациентов — это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников — это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы. Например, всего их — до тысяч. Далее смотрим, как обрабатываются данные: автоматизировано в компьютере или не автоматизировано в ручной картотеке.

Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости. Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

Немного про опасность утечек персональных данных Зачем вообще так беспокоиться о защите персональных данных? Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы.

Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях. Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний.

Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон. Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы. Бремя ответственности Вы поняли важность вопроса и готовы нести ответственность? Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав.

Кто ответит за утечку персональных данных?

Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок. Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро около 1,5 млрд руб. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR. Кто в зоне действия GDPR?

Статья 33. Уведомление надзорного органа об утечке персональных данных

Федерального закона от Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Блокирование персональных данных — временное прекращение обработки персональных данных за исключением случаев, если обработка необходима для уточнения персональных данных. Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Примечание: Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку технических средств. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных — любое действие операция или совокупность действий операций , совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение обновление, изменение , извлечение, использование, передачу распространение, предоставление, доступ , обезличивание, блокирование, удаление, уничтожение персональных данных.

Регламент ЕС о персональных данных

В целях обеспечения соответствующего уровня защиты физических лиц на территории Евросоюза и предотвращения расхождений, затрудняющих свободное перемещение персональных данных в пределах внутреннего рынка, Регламент необходим для обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, в том числе микро, малых и средних предприятий, для предоставления физическим лицам во всех государствах-членах одинакового уровня юридически закреплённых прав и обязанностей, а также функциональных обязанностей контролёров и обработчиков; обеспечения соответствующего мониторинга обработки персональных данных и равнозначных санкций во всех государствах-членах, равно как и для обеспечения эффективного сотрудничества между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное перемещение персональных данных в пределах Евросоюза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц при обработке персональных данных. Для учёта конкретной ситуации на микро, малых и средних предприятиях, настоящий Регламент предусматривает изъятия в отношении ведения учёта для организаций с менее чем сотрудников. Кроме того, учреждениям и органам Евросоюза, а также государствам-членам и их надзорным органам, рекомендуется учитывать конкретные потребности микро, малых и средних предприятий по применению настоящего Регламента. Исходя из того, что сама по себе доступность веб-сайта контролёра, обработчика или посредника в Евросоюзе, адреса электронной почты или иных контактных данных, либо использование языка, обычно используемого в третьей стране, в которой учреждён контролёр, являются недостаточными для установления подобных намерений, признаки, среди которых использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Евросоюзе, могут делать очевидным то, что контролёр намерен предлагать товары или услуги субъектам данных в Евросоюзе предложение 3 п. Обработка персональных данных субъектов данных, находящихся в Евросоюзе, контролёром или обработчиком, которые не учреждены в Евросоюзе, также является предметом регулирования настоящего Регламента, когда это связано с мониторингом действий таких субъектов данных, постольку, поскольку их действия совершаются на территории Евросоюза предложение первое п. Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица.

Полезное видео:

Правовая защита

Законные интересы контролера. Согласие должно быть отделено от других условий. Согласие должно быть активным. Пользователь должен осознанно согласиться с условиями: нельзя, чтобы согласие автоматически давалось или за него были проставлены галочки. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Утечки информации: экономические эффекты

Статья Уведомление надзорного органа об утечке персональных данных Статья Уведомление надзорного органа об утечке персональных данных Статья 33 Уведомление надзорного органа об утечке персональных данных 1. В случае утечки персональных данных контролер незамедлительно и при наличии соответствующей возможности в течение 72 часов, после того как ему стало известно об утечке, должен уведомить об этом компетентный в соответствии со Статьей 55 надзорный орган, кроме случаев, когда утечка персональных данных вероятно не приведет к риску для прав и свобод физических лиц. В случае если уведомление надзорного органа не было сделано в течение 72 часов, в нем необходимо указать причины задержки. Лицо, обрабатывающее данные, должно уведомить контролера об утечке персональных данных сразу же, как только ему стало известно об этом. Уведомление, указанное в параграфе 1 , должно содержать в себе как минимум следующую информацию: a описание характера утечки персональных данных, в том числе по возможности указание категорий и приблизительного количества субъектов данных и категории и приблизительного количество записей персональных данных; b фамилию и контактные данные инспектора по защите персональных данных или иного координационного центра, в котором можно получить более подробную информацию; c описание возможных последствий утечки персональных данных; d описание принятых или планируемых контролером мер для устранения нарушения, в том числе, в соответствующих случаях, мер по смягчению его возможного отрицательного воздействия. В случае если и постольку, поскольку в то же самое время предоставление информации не возможно, она может быть предоставлена поэтапно без дальнейшего промедления. Контролер должен документировать любые утечки персональных данных, в том числе все относящиеся к утечке персональных данных факты, ее последствия и принятые корректирующие меры.

Физическими: например, в комнате, где расположены компьютеры, . Последствия утечки персональных данных бывают разными. не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Неужели действительно могут быть проверки.

Что нужно знать бизнесу о GDPR

Эпиграф к этой статье взят из личного опыта менеджера по маркетингу BioLink Solutions Игоря Лукашова. Ответ сall-центра весьма характерен и наводит на мысль, что деятельность такого рода подразделений надо оценивать не по общему количеству ответов на вопросы в том числе в единицу времени , а по количеству ответов по существу. Но это тема отдельного разговора. Сегодня же речь пойдёт о другом. Нынешним летом исполнилось два года со дня подписания В. География участников нашего опроса оказалась исключительно широка При этом общее количество ответов не намного превысило количество городов, из которых эти ответы пришли. Однопроцентный барьер перешагнула лишь Москва.

Ликбез по персональным данным для компаний, которые их обрабатывают

При обработке персональных данных Оператор руководствуется следующими принципами: законности и справедливости; своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных; обработки только персональных данных, которые отвечают целям их обработки; соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных: Федеральным законом от Обработка персональных данных Оператором осуществляется в соответствии с: Постановлением Правительства РФ от Оператор получает и начинает обработку персональных данных субъекта с момента получения его согласия. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения субъектом персональных данных конклюдентных действий.

Операторами и третьими лицами, получающими доступ к персональным Обработка персональных данных может осуществляться.

Мониторинг и анализ сетевой безопасности на соответствие закона о персональных данных ЕС (GDPR)

Источник: Газета "эж-Юрист" Тема безопасной обработки персональных данных является актуальной как в России, так и за рубежом. Пока российский бизнес привыкает к повышенным административным штрафам за нарушение законодательства в области персональных данных по ст. Особенностью Регламента является его экстерриториальность. Дело в том, что действие Регламента распространяется не только на резидентов ЕС, но и на третьих лиц. О том, как Регламент повлияет на российский бизнес, а также о том, как российскому бизнесу подготовиться к введению в действие Регламента и чем грозит его несоблюдение, пойдет речь в статье. Распространяется ли действие Регламента на вашу компанию? Если в вашей компании обрабатываются персональные данные граждан ЕС, ответ на данный вопрос будет положительный. Требования Регламента Все требования Регламента можно условно разделить на четыре основных типа: — требования по учреждению должностей в компании; — требования по ведению внутренней документации; — требования по обеспечению прав и свобод граждан ЕС при обработке их персональных данных; — требования по взаимодействию с надзорными органами ЕС в сфере обработки персональных данных. Далее кратко рассмотрим каждый из элементов выделенных типов требований.

Статья 8 1 Хартии Европейского Союза об основных правах "Хартия" и Статья 16 1 Договора о функционировании Европейского Союза TFEU предусматривают, что каждый человек имеет право на защиту относящихся к нему персональных данных. Целью настоящего Регламента является содействие формированию пространства свободы, безопасности и правосудия и экономического союза, содействие экономическому и социальному прогрессу, укреплению и сближению экономик в рамках внутреннего рынка, а также содействие благосостоянию физических лиц. Право на защиту персональных данных не является абсолютным правом; его необходимо рассматривать относительно его функции в обществе, оно должно быть уравнено с другими основными правами в соответствии с принципом пропорциональности. Настоящий Регламент соблюдает все основные права, свободы и принципы, признанные в Хартии и закрепленные в Договорах, в частности, уважение частной и семейной жизни, жилища и переписки, защиту персональных данных, свободу мысли, совести и вероисповедания, свободу выражения мнения и распространения информации, право ведения хозяйственной деятельности, право на эффективное средство правовой защиты и на справедливое судебное разбирательство, культурное, религиозное и языковое разнообразие. Обмен персональными данными между государственными и негосударственными субъектами, в том числе физическими лицами, объединениями и предприятиями на территории Союза, увеличился.