Какую информацию нельзя разглашать в интернете: защита персональных данных и компенсация за утечку и почему не размещают в сети ответы на контрольные вопросы?

Читал в новостях про скандалы, связанные с Фейсбуком: что они там незаконно пользовались данными, чтобы показывать рекламу, а их за это оштрафовали на несколько миллиардов. И думал, куда эти штрафы пойдут.

А тут недавно наткнулся на блог некоего Константина Семина. Он говорит, что американское правительство запустило сервис, где можно заполнить заявку, что вы тоже пострадали, и получить часть штрафа. А у меня аккаунт на Фейсбуке есть.

Но разве компенсации положены россиянам? Я думал, это только для американцев. У них ведь там коллективные иски и все такое… Может, есть вариант как-то вписаться и получить деньги?

С уважением, Алексей Владимирович

У меня тоже есть аккаунт на Фейсбуке, и я попытаюсь получить часть этих денег.

Автор блога рассказывает о некоем официальном сервисе правительства США. Якобы достаточно ввести свои ФИО и номер телефона, он сам найдет все ваши аккаунты в соцсетях, проверит нарушения и начислит компенсацию.

На момент публикации статьи блог и сервис уже не работают. Ютуб также часто удаляет подобные видео, поэтому я сохранил его для истории. Но уверен, что скоро все это всплывет по новым адресам.

Как вложиться и не облажатьсяРасскажем в еженедельной рассылке для инвесторов.

Подпишитесь и получайте письма каждый понедельник

Меня смутило то, что блог ведет 32-летний программист из Питера по имени Константин Семин, а в видео этот же программист представляется Евгением Мироновым.

Канал же вообще называется «Кирилл Щаников». А еще у него откуда-то взялось 627 подписчиков, хотя других видео на канале нет.

В видео Константин-Евгений-Кирилл рассказывает, как правильно заполнить форму, обнаруживает, что его жене положено 365 $, и успешно выводит их на карту. В х люди сообщают, что им начислили от 100 до 2700 $.

Получить до 1500 $ за 10 минут — заманчивое предложение. Тем более что почти у всех есть аккаунт в какой-нибудь социальной сетиВ видео автор представляется как Евгений Миронов, канал оформлен на Кирилла Щаникова, а блог — на Константина СеминаВ блоге много восторженных комментариев. Но оставить свой не получится: если нажать на кнопку «Регистрация» или «Подписаться», сайт сообщит, что сейчас проводятся технические работы и доступно только чтение

Я перешел по ссылке из блога. Константин предупреждал, что сайт только на английском, но он определил мой регион и загрузил русскоязычную версию. Очень мило со стороны Федеральной торговой комиссии США.

После этого я нажал кнопку «Запросить расчет». Сайт сообщил, что делом Василя уже занимается сертифицированный сотрудник Jamie Raskin.

Я испугался, что американский госслужащий не сможет прочитать имя на кириллице и откажет в выплате. Но нет, через минуту появился бланк с подписью.

Оказалось, что Пупкину-Необманешь полагается 1237 $ за незаконное использование личной информации, фото и видео.

«Константин Семин» обещал, что сайт будет на английском, но чиновники США заботливо перевели его на русскийПредупредил американских чиновников, что хочу проверить их на честностьСотрудник Федеральной торговой комиссии США подтвердил, что Василь-Ибн-Пуперлоу Пупкин-Необманешь пострадал от утечки личных фото и видео. Сертифицированный сотрудник назначил выплату в 1237 $ и поставил подпись

Что ж, раз Пупкину-Необманешь положена компенсация, попробуем ее получить.

Для этого сайт попросил ввести номер карты и SSN — номер социального страхования, уникальный девятизначный номер, присваиваемый гражданам и резидентам США. Казалось бы, все пропало: ни у меня, ни у Василя нет этого номера. Но Федеральная торговая комиссия США предлагает элегантное решение: всего за 9 $ купить временный номер.

Я попытался узнать подробности перед оплатой и нажал на «Условия сервиса». Условия так и не открылись: кнопка оказалась декорацией.

Понадеявшись на честность заокеанских партнеров, я ввел реквизиты карты и нажал «Оплатить».

Деньги списались, но на сайте продолжала гореть надпись «Ожидается SSN», а все мои данные куда-то пропали — вместо них появилось слово undefined. Выплату я так и не получил.

Чтобы получить деньги на карту, необходим SSN. Его дают только гражданам США, но сайт готов оформить временный номер за 9 $Американское правительство принимает платеж в рублях и картой «Мир». А говорят, что рубль не мировая валюта!SSN я так и не получил. Сначала сайт выдал ошибку, а когда я перезагрузил страницу, оказалось, что все мои реквизиты потерялись. Наверное, сайт взломали русские хакеры

Вот что должно было меня насторожить.

Дайте денег, чтобы мы дали вам денег. Мошенники готовы отдать вам хоть все 5 миллиардов, но никогда не согласятся взять деньги за «комиссии» и «налоги» из суммы выплат. Через интернет действительно можно получить вычеты и компенсации, например социальные налоговые вычеты за лечение и учебу. Но подать заявление и получить деньги можно совершенно бесплатно.

Только восторженные отзывы. На подобных сайтах нет критики: их владельцы боятся, что жертвы передумают. Поэтому мошенники сами пишут отзывы от лица разных людей.

Для большей убедительности они добавляют, что СМИ замалчивают информацию. Но обязательно найдется комментатор, у которого не получилось забрать деньги.

В ответ ему напишут, что он сам дурак, а нормальные люди уже давно все получили.

Путаница с именами. Мошенников никто не любит, поэтому их сайты постоянно блокируют, а видео удаляют. Аферистам приходится регистрировать новые сайты и придумывать новые личности.

В блог пишет Константин Семин, видео снимает Евгений Миронов. Имена специально выбирают такие, чтобы в интернете было сложно найти информацию об аферистах. Константин Семин — блогер и журналист, а Евгений Миронов — актер.

Поисковик прежде всего выдаст информацию об этих людях.

Если сталкивались с подозрительными компаниями, пишите. Прищуримся.

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющие идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
• биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

• общедоступные;
• специальные;
• биометрические;
• иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

• Немного подробнее по каждой категории.
• Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
• Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
• судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

• сбор;
• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

В свою очередь, обработка может осуществляться тремя путями:

• Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
• Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

• обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
• обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
• неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

• сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
• персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
• обработка персональных данных, находящимся в открытом доступе;
• сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
• сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Создайте свой блог, выскажитесь и станьте суперзвездой «Клерка» Создать блог
Эта статья могла быть у вас в почте Самые интересные материалы в рассылках «Клерка», написанные живым языком со здравой ноткой юмора. Подписывайтесь и вы точно ничего не пропустите. Будет интересно. Подписаться

Как защитить компанию от утечки информации и недобросовестных сотрудников — полезные советы

Фото с сайта wifi.kz

Утечка информации в компаниях — актуальная проблема, даже при наличии в наше время специального оборудования и прописанного на эту тему законодательства. Мы подобрали несколько полезных материалов о том, как защитить коммерческую тайну, как правильно проверять сотрудников — и стоит ли это делать, как наладить систему защиты от утечки информации и элементарно защитить электронную почту.

1. Не все «пугалки» имеют законную силу — как защитить коммерческую тайну

Как защитить коммерческую тайну своей компании от незаконного использования и разглашения? Вопрос сейчас, когда на рынке труда так много стартапов, генерирующих идеи и проекты, особенно актуален. Хотя касается это не только ноу-хау.

Важно определиться, что для вашей компании является секретной информацией, что ни в коем случае нельзя разглашать сотрудникам. Затем — составить Положение о коммерческой тайне и Соглашение о конфиденциальности (соглашение о передаче нераскрытой информации) — вместо или в дополнение к положению о коммерческой тайне.

Еще один способ контролировать распространение коммерческой тайны — соглашение о непереманивании сотрудников и соглашение о неконкуренции. Правда, белорусское законодательство на данный момент не признает такие соглашения. Первое трактует как ограничение конкуренции, а второе — как ограничение трудовых прав работника, предусмотренных Конституцией.

Помните, как только информация становится публичной и общедоступной — ее невозможно больше квалифицировать как коммерческую тайну.

О том, какие меры обеспечивают коммерческую тайну и как правильно составить внутреннее положение о коммерческой тайне и другие документы, читайте здесь.

Фото с сайта expocom.ru

2. Как компании наладить систему защиты от утечки информации

Возможно ли предотвратить утечку коммерческой информации из компании автоматически? Ответ: да. Компания SQUALIO рассказывает про DLP-систему (Data Leak Prevention) — программный комплекс для предотвращения утечек данных.

Как это работает: на корпоративный сервер и рабочие компьютеры устанавливается программный комплекс, перехватывающий все коммуникации сотрудников.

Начинается мониторинг переписки в мессенджерах, веб-активности, принимаемых и отправляемых писем электронной почты, запуска приложений и всей прочей деятельности.

В случае утечки данных система блокирует это и уведомляет сотрудника, ответственного за безопасность компании. Предоставляет ему информацию, необходимую для оперативного расследования инцидента.

Одна из популярных причин утечек — большинство работников искренне считают, что результаты их труда принадлежат им, а не компании.

Случай из практики. Сотрудница туристической компании собралась покинуть ее спустя несколько лет успешной работы, чтобы открыть собственное дело. При этом она решила забрать с собой накопленную базу клиентов. При попытке отправить ее на личный адрес электронной почты передача была блокирована.

Что нужно сделать, чтобы система, предотвращающая утечку коммерческой информации из компании, работала эффективно:

• Подготовить компанию к запуску системы защиты от утечек
• Подготовить персонал к изменениям
• Прописать в контрактах соблюдение режима коммерческой тайны

Подробно об этом комплексе и принципах работы с ним читайте здесь.

Фото с сайта ukravestbud.com

3. Как защитить электронную почту от взлома — советы экспертов

Важным моментом в защите информации является надежность электронной почты. Но до сих пор многие компании используют в работе небезопасные бесплатные почтовые сервисы, а сотрудники для работы — личные ящики на этих бесплатных сервисах.

Какой же электронной почтой можно пользоваться:

• Купить домен и пользоваться только безопасной корпоративной почтой.
• Завести онлайн-почту в собственном домене
• Арендовать почтовый сервер у провайдера

Эксперты рекомендуют использовать двухэтапную аутентификацию

Новое в Законе «О персональных данных» 2021. Что нас ждет?

23 декабря 2020 г. Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.

А 30 декабря 2020 г. Федеральный закон № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” уже был подписан Президентом.

По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 г.

Сразу предупрежу: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом. Ниже изложена моя точка зрения на изменения и она не претендует на истину. Будем ожидать разъяснений Роскомнадзора.

Оперативные обновления узнавайте в моем Телеграм-канале.

Персональные данные в 2021

Что нового

Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.

• Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:
• «10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»
• Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

любые данные о человеке можно публиковать только с его прямого согласия!

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте ????

Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

новый пункт 1.1 статьи 3 ФЗ «О персональных данных». Можно придумать новую аббревиатуру, например ПДРР ))

Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».

Требования к содержанию для специального согласия на обработку персональных данных, будет определять Роскомнадзор. Пока их нет, конечно же. Ждем весны.

Обновление от 27.01.2021. Опубликован приказ Роскомнадзора о требованиях с содержанию согласия.

Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.

Придется получать новые согласия на публикацию персональных данных

Как распространять персональные данные в 2021

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

1. Возможность выбора

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

2. Последовательные доказательства

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

3. Случайно все произошло

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

4. Четкость формулировок

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

5. Если не следует, то не следует

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

6. Как вручить согласие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: 

• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока не понятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — не понятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп?

7. Как будет работать ИС Роскомнадзора

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет.

UPD. 25 марта 2021 опубликован приказ Роскомнадзора о функционировании информационной системы.

8. Молчание не является согласием

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

9. Отказать запрещать нельзя

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

10. Отсроченный пункт

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Этот пункт вступит в силу с 01 июля 2021 года, если ничего не изменится. Пока я не понял, где оператор должен что-то публиковать, зачем это вообще нужно. «Посмотрим, что скажет Роскомнадзор» (цы).

11. Общественный или публичный интерес

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.

12. Запретить можно в любой момент

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.

13.Запрет с момента получения требования

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.

14. Требования нужно выполнить быстро

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Помните пример про три сайта и чиновника? Так вот чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.

15. … но не всем

Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Кратко — им можно. Точка.

Выводы

Важно! Статья 15.5 Закона «Об информации..» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона “О персональных данных” позволяет оспаривать отказ в удалении персональных данных в суде.

Что делать со старыми согласиями, полученными до 1 марта 2021?

Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.

Когда получать новое согласие?

Не раньше, чем Роскомнадзор утвердит его форму.

Мы следим за изменениями

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

Утечка персональных данных

Утечки персональных данных нередки в работе компаний и государственных органов. Часто они связаны с недобросовестным отношением к их защите. Следствия утечек могут быть и очень серьезными, и незначительными. Защита от них должна стать задачей и операторов, и субъектов персональных данных.

Кто может пострадать

Персональные данные – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки персональных данных оказываются многие люди, среди них: 

• граждане, пользующиеся банковскими картами;
• граждане, получающие медицинские услуги;
• владельцы пенсионных накоплений;
• вкладчики банков;
• владельцы недвижимости.

Это не исчерпывающий перечень, пострадать от утечки персональных данных могут и многие другие. Поэтому государство выстроило систему защиты персональных данных. В ее основу лег Федеральный закон «О защите персональных данных», систему технических мер регламентируют правительство, ФСТЭК, ФСБ.

Причины утечек

Любая организация, которая в своей деятельности обрабатывает персональные данные, обязана предпринять комплекс организационных и технических мер, направленных на их защиту. Перечень этих мер и способов регламентируется для каждой группы данных. При разработке системы таких технических и административных решений используется модель угроз, в которой учитываются риски двух типов:

Первый тип угроз, представляющих собой неправомерное проникновение в защищенный информационный периметр организации-оператора, – хакерские атаки, которые в России редко становятся серьезными угрозами для жизни и здоровья граждан.

Прекратились появления в Сети баз данных ЦБ РФ, ГИБДД, Пенсионного фонда – информационные системы защищены серьезно, а утечка массива сведений, защищенных средствами криптографической защиты, без возможности персонификации, не несет серьезных рисков.

Сократилось и количество внешних атак на сайты банков.

Вторые реализуются наиболее часто. Гражданин предоставляет сведения о себе во множестве случаев в медицинском учреждении, в туристическом агентстве, в котором для оформлении визы он практически полностью раскрывает сведения о своем финансовом статусе.

Согласие на обработку персональных данных зачастую не подписывается. Таким образом, паспортные данные, сведения о недвижимости, доходах, операциях по банковской карте оказываются в незащищенном виде в компьютере, на котором может не быть даже антивирусной защиты.

В этом случае доступ к ним становится возможным:

• при прямом проникновении недобросовестного сотрудника агентства в компьютер или к материальным носителям информации;
• при размещении их в облачных сетях, иногда на множестве серверов, зачастую расположенных не в России. Законодательство требует обязательного хранения персональных данных внутри страны, но эти требования выполняют не все операторы, зачастую даже не знающие о существовании такой обязанности;
• при хищении ноутбука или портфеля сотрудника компании, в котором находится интересующая злоумышленника информация.

Частые случаи, появляющиеся в судебной практике, в которых штрафуются или наказываются иным образом врачи или сотрудники банковских учреждений, допустившие утечку сведений, например, паспортных данных, говорят о существовании проблемы и ее серьезности.

Последствия утечек

Последствия утечек могут оказаться серьезными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:

• от разглашения любой информации, имеющей отношение к личности;
• от шантажа;
• от неправомерного списания средств с банковской карты;
• от вмешательства в личную жизнь;
• от угроз детям, например, в случае публикации в СМИ данных о школах, где они учатся.

Минимальным риском станет неправомерная передача сведений, например, адреса электронной почты, каким-либо компаниям, которые начнут преследовать их обладателя рекламными объявлениями. Но даже это дает возможность возбудить дело и о неправомерной рекламе, и об утечке данных и приведет к штрафам, налагаемым на операторов, если источник утечки или спама удастся достоверно установить.

Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:

• гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
• административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
• уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.

Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается.

Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. В регионе суд скорее откажет в удовлетворении требований, предъявляемых как к банкам, так и к интернет-магазинам.

Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.

Как избежать негативных последствий от утечек данных

Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных.

От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:

• установка межсетевых экранов, затрудняющих проникновение к массивам информации;
• внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
• фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
• установка средств антивирусной защиты;
• использование средств криптографической защиты для шифрования данных при хранении и передаче;
• применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам.

Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить.

Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:

• не передавать персональные данные компаниям, не зарегистрированным в качестве операторов;
• осторожнее относиться к любым платежам в сети Интернет;
• всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится. 

Разглашение персональных данных: закон и ответственность, запрет на распространение и сбор без согласия

Защита конфиденциальности информации является обязанностью государства. Именно поэтому принимаются правовые нормы в сфере неразглашения третьим лицам личной информации. Наказание в данной ситуации может быть в виде штрафов и иного рода лишений. Разберёмся подробнее с этим вопросом.

Что такое персональные данные и конфиденциальность

Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

Какие персональные данные нельзя разглашать

1. Фамилия.
2. Дата рождения.
3. Отчество.
4. Имя.
5. Семейное положение.
6. Имущественное положение.
7. Паспортные данные.
8. Доходы.
9. Статус работника или безработного и др.

Именно эти сведения разглашению не подлежат. Единственным исключением, когда данные могут использоваться и обрабатываться, является согласие самого их правообладателя. Как правило, такое согласие оформляется в форме письменного документа, в котором излагается запрос от организации на право обрабатывать подобного рода информацию.

За разглашение персональных данных сторонним лицам предусмотрена ответственность в рамках российского законодательства.

Установит, какие сведения можно отнести к персональным и получить ответы на другие важнейшие вопросы в этой сфере можно обратившись к ФЗ «О защите персональных данных». Более конкретно об этом мы пишем ниже.

Субъективные признаки разглашения

Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор.

Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом.

Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

Куда жаловаться на нарушение закона о персональных данных

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Какую закон регламентирует ответственность за распространение персональных данных

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

• административная;
• уголовная.

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

Административная ответственность за обработку персональных данных без согласия, штрафы

Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
Если это юридические лица – до пятидесяти тысяч рублей.

В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.

Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

• Конкретного термина «распространение» в кодексе об административных правонарушениях нет, однако есть термины и понятия, косвенно затрагивающие незаконное распространение.
• Непосредственное распространение личной информации раскрывается в рамках уголовного законодательства, о чем будет сказано ниже.

Уголовная ответственность за нарушение закона о персональных данных

Одной из основных статей, осуществляющих защиту персональных данных, является статья 137 УК РФ.
Она предусматривает ответственность (наказание) за нарушение неприкосновенности частной (личной) жизни, куда и входит незаконное собирание и распространение частных сведений.

Здесь может применяться ответственность в виде штрафа в размере до 200 тысяч рублей, а также иные меры ответственности, в том числе и исправительные, принудительные работы, арест или лишение свободы.

Еще одной статьей, защищающей персональные, частные сведения, является статья 140 УК.

Она регулирует правоотношения в сфере отказа в предоставлении уже собранных частных данных лица, когда такое предоставление обязательно в соответствие с законодательством.

Здесь субъектом ответственности является должностное лицо. На него может быть возложен штраф в размере до двухсот тысяч рублей.

Таким образом, нельзя собирать и обрабатывать персональные данные гражданина без его согласия. Получение и передача таких сведений должна происходить в рамках законодательства РФ о защите персональных данных. Для правонарушителей незаконные действия грозят как административной, так и уголовной ответственностью.