Роскомнадзору могут предоставить право устанавливать требования к обезличиванию персональных данных

Обращение с персональными данными как физического, так и юридического лица в Российской Федерации регламентируется законодательством. Такая информация принадлежит владельцу и может обрабатываться только при наличии согласия.

Обезличивание позволяет компании снизить приоритетность информации, обезопасить хозяев за счет сокращения и изменениях ведомостей. В этом материале мы разберемся с тем, что собой представляет обезличивание данных, в каких случаях оно используется и с какой конечной целью.

Скрыть содержание

Что это такое?

Обезличивание персональной информации является составляющей частью обработки материалов.

В статье 7 Федерального закона РФ от 27 июля 2006 года «О персональных данных» сообщается, что под обезличиванием ведомостей понимается действие, которое делает невозможным определение принадлежности информации к конкретному лицу.

При этом, речь идет только об идентификации физического или юридического лица на основе сообщений, которые подвергаются обезличиванию.

Статья 7 ФЗ №152 от 27 июля 2006 года «О персональных данных». Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Эта же информация может помочь определить, к какому россиянину относятся ведомости, если будут использованы дополнительные источники. Обезличивание проводится как при помощи автоматизированных систем (компьютеров, программ), так и без использования таких средств.

Алгоритм доступен только операторам, имеющим в своем распоряжении информацию личного характера. После обезличивания материалов с оператора снимаются требования по обеспечению максимальной конфиденциальности.

Теперь вы в общих чертах знаете, что это такое — обезличенные данные о клиентах.

Для чего необходимо?

Роскомнадзор определяет обезличивание в качестве способа защиты информации от несанкционированного использования, однако сохранить возможность пользоваться ею дальше. В некоторых случаях операторам необходимо сохранить доступ к ведомостям на длительный срок. Если ликвидировать материалы невозможно, обезличивание станет достойной альтернативой.

Хранение персональных сообщений регулируется законом, требует выполнения мероприятий по обеспечению конфиденциальности.

Например, в электронном виде сведения должны храниться в информационных системах, прошедших государственную экспертизу.

Переведя данные в разряд обезличенных, оператор может сократить собственные расходы на хранение информации, ведь с этого момента они больше не позволяют определить их владельца.

Важно: Устраняется одна из основных характерных черт личных материалов – возможность идентификации лица, а вместе с ней – и надобность сохранять наивысший уровень конфиденциальности. Однако оператор не имеет права распространять сообщения, которыми обладает, и передавать их третьим лицам.

Пример

Многие из жителей Российской Федерации пользуются интернет-магазинами для совершения быстрых и выгодных покупок. И каждый торговый портал является оператором ПД (персональных данных). Предположим, ресурс хранит сообщения о клиентах в электронном виде.

По каждому покупателю у оператора имеются следующие сведения: ФИО, город проживания, перечень заказанных товаров. Все эти материалы являются личными, дают возможность идентифицировать лицо с большой долей вероятности или способны, в случае неконтролируемого распространения, нанести гражданину — обладателю информации — вред.

Интернет-магазин может обезличить ПД, используя один из методов, утвержденных Приказом Роскомнадзора от 05 сентября 2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Возьмем для примера метод декомпозиции. Он предусматривает разбивку массива информации (ФИО, город проживания и перечень товаров) на несколько частей, которые будут храниться отдельно друг от друга. Все три группы по отдельности не могут стать инструментом для идентификации человека.

Внимание: Это означает, что любое третье лицо не сможет установить город проживания человека, чье ФИО указано, не узнает, какие товары им были заказаны.

Однако при любом способе деперсонализации данных интернет-магазин сохранит возможность оперировать необходимыми материалами, например, использовать информацию для собственных статистических исследований по популярности ресурса в отдельном населенном пункте или востребованности определенного товара.

Правила работы

Такие правила устанавливаются региональными муниципалитетами Российской Федерации на основе уже упомянутого Федерального закона «О персональных данных».

• На обезличенные ПД распространяется требования о сохранении информации и обеспечении защиты ведомостей личного свойства от третьих лиц.
• Обрабатывать их при помощи средств автоматизации или без из участия средств автоматизации
• Придерживаться антивирусной, парольной политики.
• Хранить физические носители в отдельном помещении с ограниченным правом доступа.

Теперь вы знаете, каковы правила работы с обезличенными данными о клиенте.

При помощи чего возможно?

Так как же обезличить ПД? Основные методы обезличивания информации утверждены в Приказе Роскомнадзора, органа осуществляющего надзор за реализацией государственной политики в сфере массовой коммуникации. В наши дни используются четыре основных метода обезличивания.

1. Введение идентификаторов (часть информации заменяется соответствующими идентификаторами. Для реализации метода создается таблица или справочник, только через таблицу/справочник информацию можно расшифровать).
2. Замена состава или семантики информации (оператор удаляет часть сведений, обобщает их, например, вместо конкретных адресов вписывает только города. Кроме этого, разновидностью метода назовем замену ПД статистической информацией – вместо ФИО каждого гражданина, оператор оставляет необходимую ему возрастную/гендерную статистику или другие ведомости.
3. Декомпозиция (разбиение одного массива информации на меньшие блоки, которые сами по себе не дают возможности идентифицировать человека).
4. Метод перемешивания (группы сведений в одном документе перемешиваются таким образом, что установить принадлежность лицу не представляется возможным).

Пошаговая инструкция: как осуществить?

Основным нормативным документом при проведении обезличивания информации остается акт «О персональных данных» правительства Российской Федерации. Обезличивание считается вариантом обработки ПД, поэтому при проведении соответствующего действия необходимо выполнять основные требования, которые предъявляются к обработке:

• обеспечить защиту обезличенной информации от третьих лиц;
• все действия с такой информацией выполнять только с разрешения ее хозяина.

Обработка данных включает в себя следующие составные мероприятия:

1. Назначение ответственного сотрудника.

   Лицо, ответственное за обработку ПД (в нашем случае их обезличивание), должно назначаться официальном приказом. После инструктажа работник подписывает документы о неразглашении конфиденциальной информации.

2. Составление документа о политике в отношении личных данных.

   Для чего оператор собирает ПД, где их хранит, в какой срок они должны быть уничтожены и для каких целей применяется обезличивание – ответы на эти и другие вопросы необходимо прописать в документе. Его можно назвать просто «О персональных данных».

3. Получение письменных разрешений владельцев ПД.

   Если вернуться к примеру с интернет-магазином, то от письменных разрешений придется отказаться. В момент регистрации на ресурсе россиянину предложат ознакомиться с политикой ПД конкретного ресурса и дать свое согласие на обработку ведомостей.

4. Следующим организационным документом станет «Распоряжение об обезличивании данных», в нем необходимо прописать выбранный способ обезличивания.

   Необходимо провести процедуру и составить акт о выполнении обезличивания. Если речь идет о системе электронных данных, оператору необходимо пройти проверку, после чего класс системы для хранения данных будет понижен.

Обезличивание данных проводится исключительно для нужд самого оператора, поскольку в процессе этого мероприятия информация теряет важность.

Хранить такие ведомости удобно для самого оператора, ведь обезличенные данные даже в случае несанкционированного распространения не смогут нанести вред субъектам.

Тем не менее, они остаются персональной информацией, и доступ к ним должен быть ограничен по всем законам России.

Кому не нужно уведомлять Роскомнадзор об обработке персональных данных

По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно. 

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ. 

Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:

• При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
• При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
• При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
• При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.

Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.

О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье «Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017».

Изменение закона о персональных данных: штрафы по 152-ФЗ в 2020 только вырастут. Как не стать клиентом Роскомнадзора? — Право на vc.ru

Какие сведения относятся к персональным?

Персональные данные (ПД или ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПД). К ней относятся:

• серия и номер паспорта;
• дата и место рождения;
• адрес постоянной регистрации и проживания субъекта;
• другие идентификаторы, позволяющие определить лицо.

Главной целью закона 152-ФЗ “О персональных данных” является гарантирование защиты прав и свобод человека и гражданина при использовании его персональных данных, обязательно на неприкосновенность частной жизни, личную и семейную тайну.

Характеристика закона “О персональных данных”

Защита персональных данных в 2020 году​

Основным направлением действия 152-ФЗ является активная защита личной информации субъекта от неразрешенного доступа к ней и предотвращение незаконного хранения и последующей обработки. Реализация закона пытается решить главную проблему современности — это использование личных данных человека незаконным путем.

Персональные сведения, которые мы указали выше, относятся к индивидуальной информации.

Частично ответственность за их распространение можно возложить и на самого владельца таковых, поскольку нередко человек дает согласие на обработку непроверенным операторам либо не обращает внимание, на что дает согласие или подписывает неизученный документ. Однако даже на первый взгляд внушающие доверие организации и их сотрудники допускают промахи.

Для того чтобы сохранить эту информацию персональной (ПЕРСОНА́ЛЬНЫЙ — касающийся только данного или одного лица), органы власти принимают различные меры, в рамках которых операторы по обработке ПДн, получившие данные от физического лица, должны нести ответственность за их полную сохранность. Другими словами, 152-ФЗ был принят с целью недопущения распространения персональных данных граждан без их согласия на это. Именно поэтому главным его правилом остаётся понятие о том, что оператор — это то лицо, которое отвечает за всю конфиденциальность полученной информации.

Что изменилось в 152-ФЗ в 2019 году? (актуально на 2020)

В январе 2019 года вступили в силу поправки к закону «О персональных данных» от 27.07.2006 N 152-ФЗ, о чем команда “ПД-Мастер” говорила в прошлом году. Последняя редакция содержит список нарушений, за которые оператор по обработке персональных данных привлекается Роскомнадзором к ответственности. Выглядит он следующим образом:

• обработка данных физического лица осуществляется не в соответствии с главными целями;
• при обработке личных данных отсутствует согласие на ее проведение;
• ненадлежащее информирование человека о полной политике получения и обработки личной информации или полное отсутствие информирования;
• персональные данные субъекта были получены оператором по обработке ПДн незаконным путем;
• личные данные удаляются или уничтожаются;
• обезличивание персональных данных осуществляется ненадлежащим образом.

Согласно ст. 137 УК РФ, при допущении хотя бы одного из перечисленных нарушений организация, являющаяся оператором по обработке ПД, подлежит административному или уголовному наказанию.

Проверка в отношении организации осуществляется представителями Роскомнадзора по инициативе гражданина, который обнаружил нарушения со стороны такой организации в части обработки его ПДн и оформил жалобу в соответствующем порядке.

В июле 2019 года генетический материал человека был приравнен к персональным данным. Это расширило понятие “персональные данные” и снизило шансы злоумышленников на незаконное использование неучтенных личных сведений о человеке.

2020 год и изменения, которые он привнес в ФЗ-152

2 декабря 2019 года был подписан 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Некоторые из озвученных изменений касаются и ФЗ-152.

Конечно же, основные корректировки связаны с ответственностью.

В случае, если оператор ПДн не выполняет при сборе информации, в том числе через сеть «Интернет», обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных сведений граждан нашей страны с использованием баз данных на территории РФ, ему грозят следующие административные штрафы:

• гражданину — от 30 до 50 тыс рублей;
• должностному лицу — от 100 до 200 тыс рублей;
• юридическому лицу — от 1 до 6 млн рублей.

За повторное нарушение следует их очевидное повышение:

• гражданин заплатит от 50 000 ₽ до 100 000 ₽;
• должностному лицу грозит 500 000 ₽ — 800 000 ₽;
• юридическое лицо в качестве штрафа может заплатить от 6 000 000 ₽ до 18 000 000 ₽.

В 2020 году увеличены штрафы за некорректную обработку персональных данных​

Еще одно введенное изменение стоит знать индивидуальным предпринимателям. С даты вступления в силу 405-ФЗ лица, осуществляющие предпринимательскую деятельность, приравниваются к юридическим. Соответственно, будут нести ответственность как более крупные организации.

В пояснительной записке к закону говорится, что введение изменений направлено на повышение ответственности к процессу сбора, хранения и обработки персональных данных в организации своих сотрудников, клиентов, контрагентов и прочих участников ее деятельности. Также корректировки направлены на стимулирование поддержания организационно-распорядительной документации и прочих документов по персональным данным в актуальном состоянии.

Внесение поправок в действующих закон еще раз напоминает о необходимости локализации хранилищ ПДн граждан РФ на ее территории.

Шокирующие размеры штрафов заставят задуматься о правильности работы процесса сбора, хранения и обработки ПД в организации, говорят разработчики.

Опыт некоторых стран — Турции и Германии — подтверждает эффективность введения подобных жестких мер в отношении бизнеса в России. С другой стороны, что с ним будет, если нормы закона соблюсти не получится, а многомиллионные штрафы лишат его “право на жизнь”.

На сегодняшний день правоприменительной практики пока нет. Лишь время покажет, насколько адекватными и рабочими окажутся внесенные поправки.

Вместе с этим, не стоит забывать, что проверка может нагрянуть и в Вашу организацию.

Чтобы быть к ней готовым, Вы можете узнать о предстоящей встречи с Роскомнадзором, заполнив форму на нашем сайте: https://pdmaster.ru/services/audit-personalnyh-dannyh-2/

В россии со второй попытки отрегулируют обезличенные данные

3776

18.09.2019, Ср, 19:39, Мск , Валерия Шмырова

Минкомсвязи подготовило законопроект, который введет в правовое поле понятия «обезличенные персональные данные» и «обезличенные данные», а также установит требования к их обработке.

Одновременно законопроект разрешит давать одно согласие на обработку данных в нескольких целях и позволит пользователям отзывать ранее данное согласие.

Попытка отрегулировать обезличенные данные ранее безуспешно предпринималась депутатами Госдумы

В России будут законодательно закреплены понятия «обезличенные персональные данные» и «обезличенные данные», а также будет скорректирован порядок обработки персональных данных.

Соответствующий законопроект Минкомсвязи опубликован на федеральном портале проектов нормативных правовых актов. Законопроект вносит необходимые изменения в федеральный закон «О персональных данных», принятый в 2006 г.

Документ проходит независимую антикоррупционную экспертизу, которая завершится 24 сентября 2019 г.

Согласно законопроекту, «обезличенными персональными данными» и «обезличенными данными» будут считаться соответственно персональные данные и просто сведения, которые не позволяют без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Законопроект закрепляет за операторами право осуществлять обработку персональных данных, полученных ими на законных основаниях, в целях получения обезличенных данных.

Обезличивание персональных данных можно проводить только с согласия субъекта.

Это правило не распространяется на случаи, когда оно проводится в статистических, аналитических и исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также целей политической агитации. Также правило не распространяется на некоторые другие случаи, оговоренные российским законодательством.

Требования и методы обезличивания персональных данных установит Роскомнадзор. Обработка обезличенных персональных данных должна проходить согласно российскому законодательству в области персональных данных.

Возможная деанонимизация

Если при обработке обезличенных персональных данных оператором эти данные принимают вид, позволяющий определить их принадлежность к конкретному субъекту, то проводить такую и дальнейшую обработку этих данных можно только с согласия субъекта, кроме некоторых случаев, предусмотренных законодательством.

Власти узаконят понятие «обезличенные данные»

Операторам запрещается передавать третьим лицам какую-то информацию, которая поможет соотнести обезличенные персональные данные с конкретными субъектами.

Если же оператор передает третьим лицам просто обезличенные данные, то эти лица могут их использовать свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности.

Использовать какую-либо информацию, деанонимизирующую обезличенные данные, третьим лицам нельзя.

Обработка персональных данных

В список случаев, когда необходима обработка персональных данных, внесены новые ситуации: когда она нужна для предотвращения имущественного ущерба, а также предупреждения и предотвращения противоправных деяний. Также, согласно законопроекту, при условии обезличивания данные можно будет обрабатывать не только в исследовательских, но и в аналитических целях.

Законопроект уточняет, что субъект может дать согласие на обработку персональных данных в электронной форме — с помощью SMS, по электронной почте, путем заполнения формы на сайте оператора или другим способом.

Субъект также может отказаться от дачи согласия на обработку персональных данных или отозвать ранее данное согласие.

Субъект вправе потребовать от оператора внести изменения в согласие на обработку персональных данных в части состава целей кроме некоторых случаев, которые описаны в российском законодательстве.

Согласно законопроекту, теперь можно будет дать согласие на обработку персональных данных одновременно в нескольких целях. Пояснительная записка гласит, что это актуально для запуска новых инновационных сервисов и услуг, удаленного взаимодействия с клиентами и работниками, получения государственных услуг и т. д.

Если согласие дается в электронной форме, пользователь, вместо указания наименования и адреса лица, осуществляющего обработку персональных данных по поручению оператора, может просто дать ссылку на сайт оператора, где указаны эти сведения. Оператор должен предупредить пользователя, если в этих сведениях что-то изменилось.

Предыдущая попытка

Напомним, в России уже предпринималась попытка отрегулировать обезличенные данные — правда, в несколько ином понимании этого слова. Соответствующий законопроект, содержащий поправки в закон «Об информации…», был внесен на рассмотрение в Госдуму 23 октября 2018 г. Авторами документа выступили депутаты «Единой России» Михаил Романов и Алексей Кобилев.

В тот раз речь шла о так называемых больших пользовательских данных. Под ними понималась обезличенная информация о физических лицах и их поведении, не содержащая персональных данных и собираемая из источников, количество которых превышает тысячу сетевых адресов.

В законопроекте было прописано требование об обязательном информировании пользователя об обработке связанных с ним больших данных. Если база насчитывает более 100 тыс. сетевых адресов, и оператор работает с ней в интересах третьих лиц, законопроект предписывал ему уведомить об этом Роскомнадзор до начала обработки данных.

Законопроект подвергся жесткой критике из-за смешения понятий больших пользовательских данных и данных, прошедших процедуру обезличивания, как их понимает закон «О персональных данных». Кроме того, под него подпадал сбор данных с устройств интернета вещей, которые функционируют без помощи человека, и сбор данных с которых не нуждается в дополнительном регулировании.

В результате в ноябре 2018 г. законопроект был возвращен авторам для выполнения требований Конституции России и регламента Госдумы.

• Короткая ссылка
• Распечатать

Предлагается распространить обязанность по обезличиванию персональных данных на всех их операторов

30 августа Минкомсвязи вынесло на публичное обсуждение пакет поправок в законодательство, направленных на уточнение требований при обезличивании персональных данных и установление административной ответственности за их несоблюдение.

Первый законопроект устанавливает обязанность оператора при сборе персональных данных обезличивать их в установленных законом случаях и порядке. Также он вводит обязанность оператора, являющегося юрлицом, включать в политику обработки персональных данных правила работы с обезличенными данными в случае обезличивания персональных данных.

Из пояснительной записки следует, что проект разработан во исполнение поручения Президента РФ в целях защиты интересов субъектов персональных данных.

В настоящее время требования и методы, утвержденные Роскомнадзором по обезличиванию персональных данных, распространяются только на операторов, являющихся государственными или муниципальными органами.

При этом сейчас, согласно Закону о персональных данных, их обезличивание может осуществляться операторами, не являющимися государственными и муниципальными органами в отдельных случаях.

«Отсутствие утвержденных требований и методов по обработке персональных данных указанными операторами является существенным правовым пробелом, создающим существенную угрозу по защите персональных данных при их обезличивании такими операторами», – указано в пояснительной записке.

Второй законопроект направлен на внесение изменений в ч. 7 ст. 13.11 КоАП РФ.

Для оператора, не обезличивающего персональные данные либо не соблюдающего установленные для такого обезличивания требования или методы, установлена ответственность в виде предупреждения или штрафа.

Штраф в отношении граждан варьируется от 700 до 1,5 тыс. руб., должностных лиц – от 3 до 6 тыс. рублей, ИП – от 5 до 10 тыс. руб. Согласно поправкам, юрлицам за такие нарушения придется заплатить от 15 до 30 тыс. руб.

Проект закона предусматривает расширение субъектного состава правонарушения, предусмотренного указанной статьей. Ответственность планируют распространить не только на операторов персональных данных, являющихся государственными или муниципальными органами, но и на иных операторов таких данных.

Публичное обсуждение проектов продлится до 19 сентября.

Основатель и владелец юридической компании «Катков и партнеры», член Совета ТПП РФ по интеллектуальной собственности Павел Катков считает, что обезличивание персональных данных должно, с одной стороны, обеспечить их защиту, а с другой – предоставить возможность их обработки. «Проще говоря, операторам персональных данных будет дано право их обработки. Смысл этого лежит в экономической, маркетинговой, статистической и иных плоскостях их использования», – пояснил он.

Эксперт подчеркнул, что эти данные и их анализ – основа для выводов по поведению их владельцев, в том числе потребительскому поведению, предпочтениям, действиям в интернете, иным действиям. «При этом данные для такой обработки должны быть именно обезличенными, это важно», – заключил Павел Катков.

Юрист практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и Партнеры» Андрей Алексейчук считает, что в целом в данных законопроектах нет необходимости. Исходя из п. 9 ст.

3 Закона о персональных данных обезличенными данными являются данные, по которым невозможно, без использования дополнительной информации, определить их принадлежность конкретному субъекту ПД.

При этом для субъекта не важно, каким способом осуществляется обезличивание, если достигнут результат, установленный законом. «Установление обязанности оператора осуществлять обезличивание только определенными методами никак не увеличивает степень защиты прав субъекта ПД.

Кроме того, частные операторы зачастую и так ориентируются на требования Роскомнадзора при обезличивании данных, но у них должно быть больше свободы выбора в этом вопросе (с учетом того, что их цели и задачи часто меняются)», – отметил эксперт.

В то же время Андрей Алексейчук поддержал поправку об обязательном указании в Политике обработки персональных данных порядка работы с обезличенными данными.

«Поскольку сейчас объемы обработки обезличенных данных в коммерческих и маркетинговых целях достаточно высокие, их субъекты должны быть информированы о том, как обрабатываются, в том числе, и их обезличенные данные.

Кроме того, в текущих реалиях обезличивание уже не является аналогом уничтожения и не способствует надлежащей защите прав субъектов персданных».

Юрист заметил, что операторам, которые осуществляют обезличивание персональных данных не в соответствии с требованиями Роскомнадзора, придется изменить эти процессы.

Также всем операторам, которые работают с обезличенными данными, необходимо будет внести изменения в Политику.

«Кроме того, законопроект дает возможность Роскомнадзору установить более жесткие требования к обезличиванию, которые будут распространяться на всех операторов», – подытожил эксперт.

Разъяснения Роскомнадзора по порядку защиты персональных данных

Что такое персональные данные? Персональные данные — это любая информация, относящаяся к человеку.

К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты.

Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО).

Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству.

Также государственный номер автомобиля не является ПД, так как относится к транспортному средству. Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ,  .

Часто в правовых основаниях обработки забывают указать  Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры.

 ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД.

В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета). При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать. Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД. При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД. После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Обязанности оператора

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН. Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала. Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.

Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр.

___, в том числе базы данных сайта и информационной системы персональных данных оператора.

Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД. После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней. Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции. Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ. Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

• Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
• Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
• Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
• Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
• Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
• Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).

Основные проблемы при взаимодействии проверяющих лиц с операторами в рамках проведения плановых/внеплановых проверок

1. Отсутствие уполномоченного представителя оператора;
2. Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
3. Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
4. Отказ в предоставлении запрашиваемой информации и документации;
5. Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
6. Отказ в предоставлении доступа к оборудованию оператора;
7. Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).

При этом важно помнить, что должностные лица РКН:

1. Не осуществляют консультирование проверяемого лица;
2. Не предоставляют проект акта проверки для предварительного ознакомления представителем проверяемого лица;
3. Не дают пояснений относительно причин или оснований квалификации отдельных действий оператора как нарушающих ФЗ «О ПД», их можно получить только при обжаловании акта;
4. Не продлевают, в том числе и по письменному обращению проверяемого лица, контрольные сроки исполнения предписания об устранении нарушений.

Имеют ли право юр лица обезличивать информацию позиция роскомнадзора

Обезличенные или персональные

Так ли это? Законно ли ссылаться в деятельности коммерческой ИСПДн на этот приказ?

14 Января 2015, 23:23, вопрос №685771 Александр, г.

Москва Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (2) 48 ответов 14 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист, г. В соответствии ст.3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» 3) обработка персональных данных — любое действие

Роскомнадзор обещает штрафовать по персданным, если в офисе нет жалюзи на окнах

Во-вторых, демонстрируете свое согласие с принципами обработки и уважительное отношение к персданным третьих лиц.

«Политика – обязанность оператора, когда посредством интернет-ресурсов осуществляется сбор информации»

, — констатировала Коротова Ольга Александровна — Заместитель руководителя Управления Роскомнадзора по ЦФО.

Согласитесь, что клиентская база в наше время – это ценный ресурс для бизнеса и обращаться с ним нужно соответственно.

Чиновники считают, что опубликование Политики по персданным на сайте – это не только требование законодательства, это норма добросовестного поведения в цифровой среде.

В Роскомнадзоре подчеркнули: отсутствие Политики грозит штрафом до 30 тыс.руб.

Ответы Роскомнадзора на вопросы о персональных данных

Соискатели и базы кандидатов Так, Роскомнадздор уточняет, что обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на обработку их персональных данных.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни

5 мифов о персональных данных

• Это правда.
• Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц.
• Среди возможных нарушений в частности перечислены:

1. обработка персональных данных при отсутствии письменного согласия субъекта;
2. неисполнение обязанности по опубликованию политики по обработке персональных данных.

3. обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных.

Чтоб оценить риски привлечения

Блог Артема Агеева

1. Как выйти из этой ситуации?
2. То есть домашний адрес и личный телефон больного СПИДом — это теперь «статистическая» информация.
3. Человек, который это писал, не мог не понимать, что его решение будет растиражировано по тысячам больниц и сотням информационных систем.

Миллионы пациентов в соответствие с такими «рекомендациями» лишаться своего права на защиту персональных данных — домашних адресов, личных телефонов и почтовых ящиков и так далее. Ведь в современном мире по почтовому ящику или номеру сотового можно узнать о человеке порой больше, чем по паспорту! Дальше ещё хуже.

Ответы Роскомнадзора на вопросы о персональных данных

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных? Ответ: В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Ответ: Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона,

Ответы Роскомнадзора на вопросы о персональных данных

2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных. Согласно ч. 2 ст.6 Федерального закона от 27.07.

2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ) 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

Роскомнадзору могут предоставить право устанавливать требования к обезличиванию персональных данных

Новеллой предусматривается, что за неисполнение оператором обязанности по обезличиванию персональных данных либо за несоблюдение установленных требований по обезличиванию персональных данных налагается штраф в размере:

1. от 5 000 до 10 000 руб. на ИП;
2. от 700 до 1 500 руб. на физлиц;
3. от 3 000 до 6 000 руб. на должностных лиц;
4. от 15 000 до 30 000 руб. на юрлиц.

• За данное правонарушение вместо наложения штрафа физлицам может быть вынесено предупреждение.
• В настоящее время субъектами данного правонарушения могут быть только операторы, являющиеся государственными или муниципальными органами, а наказание в виде штрафа налагается на их должностных лиц.
• О правовых вопросах, связанных с персональными данными, читайте в материалах подраздела .

За что Роскомнадзор штрафует компании на 75 тыс руб

Данные сведения компания обрабатывает в информационной системе 1С «Предприятия (Магазины)» Компания обязана уведомлять Роскомнадзор об обработке персданных таким способом, поскольку она проводится с использованием информационных систем.

Поэтому не подпадает под исключения, предусмотренные ч.

2 ст. 22 Закона о персональных данных Частью 2 ст. 22 Закона о персданных № 152-ФЗ прямо предусмотрен перечень из 9 случаев, когда фирма освобождается от обязанности представлять в Роскомнадзор уведомление об обработке персданных.