ГЛАВА 1. ПОНЯТИЯ «ПЕРСОНАЛЬНЫЕ ДАННЫЕ», «ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ»
В соответствии с Федеральным законом «О персональных данных»:
Персональные данные – это вся информация, относящаяся к определенному человеку (субъекту ПД) прямо или косвенно [3]. Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях.
К персональным данным можно отнести следующую информацию:
1) профессия;
2) ФИО человека;
3) возраст и пол;
4) данные паспорта;
5) деловые и иные личные качества, которые можно оценить;
6) семейное положение, дети и родственники;
7) имущественное и социальное положение;
8) национальность, политические и философские взгляды, религия, здоровье, личная жизнь;
9) адрес;
10) физиологические данные, и другие физиологические или биологические особенности человека;
11) размер заработной платы [6].
Можно выделить следующие документы, в которых содержатся персональные данные:
1) паспорт гражданина России;
2) загранпаспорт гражданина РФ;
3) дипломатический паспорт;
4) СНИЛС;
5) ИНН;
6) трудовая книжка сотрудника;
7) анкета, резюме, заполняемое кандидатом на вакансию при собеседовании;
8) воинский билет;
9) аттестат об образовании, наличие сертификатов о специальных знаниях;
10) свидетельство о регистрации брака;
11) свидетельство о рождении ребенка;
12) личная карточка
13) справка с предыдущего места работы;
14) справка о заработной плате;
15) медицинская карта;
16) документ о нетрудоспособности;
17) трудовой договор;
18) штатное расписание;
19) приказы по личному составу;
20) водительские права.
Документов, содержащих ПД, довольно-таки много. Очень часто возникают споры по отнесению информации к ПД, например, персональные данные широко распространены в Интернете, где в процессе регистрации на сайтах люди указывают распространенную информацию о себе, такую как ФИО, дата рождения. И после размещения такая информация сразу становится общедоступной. Однако эта информация все так же продолжает оставаться ПД.
Персональные данные — это дорогой товар на чёрном рынке. За полные данные медицинской карты человека, злоумышленникам готовы платить большие деньги. Отдельный рынок — продажа информации по банковским картам; аккаунты в социальных сетях.
Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, злоумышленник может узнать домашний адрес человека, посмотреть профиль или просто написать сообщение на мобильный телефон.
Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать предложениями услуг. Также ими могут воспользоваться интернет-мошенники для игры в онлайн-казино или для открытия электронного кошелька.
В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.
Обработка ПД - все действия, совершаемые при помощи средств автоматизации или без них с персональными данными. Эти действия включают сбор, хранение, запись, накопление, удаление, уточнение (изменение, обновление), уничтожение, извлечение, использование, передачу (доступ, распространение, предоставление) обезличивание, блокирование ПД [3].
В соответствии со ст.7 Федерального закона "О персональных данных" операторы и лица, имеющие доступ к ПД, не имеют право разглашать и распространять ПД без согласия лица, которому эти персональные данные принадлежат, если другое не предусмотрено законом [3].
Персональные данные обрабатываются:
1) через оператора ПД;
2) через третье лицо.
Таким образом, если ПД передаются третьим лицам, то тогда необходимо согласие лица, имеющего права на эти данные.
При обработке ПД необходимо назначить сотрудника, который будет нести ответственность за сбор и обработку ПД. Этот сотрудник назначается приказом по компании и при работе с ПД должен осуществлять трудовые обязанности:
1) производить внутренний контроль за соблюдением требований закона о ПД;
2) знакомить сотрудников предприятия с положениями закона о ПД;
3) создавать внутренние акты предприятия и знакомить с ними сотрудников;
4) создавать требования по защите ПД и знакомить сотрудников предприятия с этими требованиями;
5) производить обработку и прием запросов и обращений;
6) контролировать процесс приема и обработки запросов.
По общему правилу, оператору до начала обработки ПД необходимо уведомить уполномоченную службу по защите прав лиц, которому эти ПД принадлежат о начале процесса осуществления обработки ПД [7].
Для этого в Роскомнадзор направляется уведомление о начале обработки ПД. Уведомление можно заполнить на сайте ведомства [8].
Конституция Российской Федерации гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
?
ГЛАВА 2. СИСТЕМА КОНТРОЛЯ И НАДЗОРА ЗА ОБЕСПЕЧЕНИЕМ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Федеральный закон "О персональных данных" выделяет три службы в сфере защиты персональных данных:
1) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) осуществляет контроль над соблюдением требований по обработке персональных данных и защиты прав субъектов персональных данных;
2) Федеральная служба безопасности РФ (ФСБ) осуществляет контроль над соблюдением правил по организации и обеспечению функционирования криптографических при их использований для обеспечения безопасности персональных данных при их обработке в ИС;
3) Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет контроль и выполнения требований по организации и техническому обеспечению безопасности персональных данных не задействуя криптографические методы при их обработке [3].
Для контроля соблюдения операторами требований безопасности в сфере защиты персональных этими службами проводятся плановые и внеплановые проверки.
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ существует договоренность о проведении общих мероприятий по контролю и надзору в сфере защиты персональных данных [7].
2.1. Проверки Роскомнадзора в сфере защиты ПД
Основным контролирующим органом в сфере защиты ПД является Роскомнадзор. Его создали для защиты прав субъектов ПД, контроля над процессом обработки ПД, контроля соответствия механизмов обработки требованиям законов РФ.
В феврале 2019 года утвердили Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». С введением правила начал действовать новый тип контроля – наблюдение за оператором ПД, также многие требования к работе Роскомнадзора стали более конкретными [9].
До утверждения этих Правил регламентирующих проведение государственного контроля и надзора за обработкой ПД (далее – «Правила») Роскомнадзор применял Административный регламент № 312, подписанный Приказом Минкомсвязи РФ в ноябре 2011года.
Роскомнадзор наделен следующими полномочиями для выполнения своих функций:
1) проверка указанных в уведомлении данных;
2) возможность ограничивать доступ к ПД, если при их обработке был нарушен закон РФ;
3) возможность обратиться в суд с иском для защиты прав субъектов ПД;
4) возможность привлекать к ответственности людей, нарушающих требования Федерального закона;
5) обязан рассматривать обращения по вопросам процесса обработки ПД, и решать эти вопрос.
6) возможность требовать от оператора уничтожения ПД, если они получены незаконно.
В настоящее время Роскомнадзор осуществляет следующую деятельность:
1) обработка запросов населения;
2) проведение мероприятий по контролю и надзору;
3) ведение Реестра операторов.
Роскомнадзор рассматривает обращения по закону №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Любое физическое лицо может отправить жалобу как на бумажном носителе, так и через размещенную на сайте Роскомнадзора электронную форму или через портал Госуслуги. Все жалобы рассматриваются в течении 30 дней.
Работа Роскомнадзора состоит в проведении проверок: плановых, внеплановых, документарных и выездных.
Даты плановых проверок утверждаются при составлении ежегодного плана. Под проверку подпадают:
1) работа оператора по обработке ПД с помощью или без помощи автоматизированных средств;
2) документы, локальные акты и предпринятые меры по выполнению обязанностей оператора (согласно ч.1 ст.18.1 Закона);
3) информационные системы (например, 1С или CRM-системы), но только в части, касающейся процессов обработки ПД.
При этом Правила не регламентируют контроль и надзор за выполнением организационных мероприятий по обеспечению безопасности ИС ПД. Подобные меры предусмотрены в ст.19 Закона и в основном предполагают защиту компьютерных систем от неправомерного доступа, утечек или повреждения информации. Таким образом, Роскомнадзор не проверяет состояние и наличие технической ЗИ систем ПД. Его основная задача — проверка оснований обработки персональных данных. Положения, инструкции, приказы и прочие документы это не главные объекты проверок. Службу по контролю и надзору интересуют сами ПД и соответствие количества этих данных целям обработки.
Согласно п. 6 и 7 Правил, плановая проверка оператора ПД может проводиться не чаще раза в три года. Этот интервал сокращается до двух лет, если оператор:
1) работает с персональными данными в государственных ИС;
2) обрабатывает биометрические данные (например, отпечаток пальца) и специальные категории данных (например, сведения о состоянии здоровья);
3) передает персональные данные на территорию других государств, которые не смогут обеспечить их надежную защиту (например, в США, Индию или Китай);
4) обрабатывает ПД по поручению иностранной компании, государственного органа или физического лица, которые неимеют регистрации в России.
Проверка не должна длиться больше 20 дней. Допускается продление еще на 20 дней.
В уведомлении о плановой проверке, обычно указано, что проверяемому лицу необходимо предоставить весь перечень нужных документов. Проверке подлежать все: юридические лица, подавшие Уведомление об обработке ПД в реестр операторов, и те, кто не сделал этого. Плановая проверка длиться не дольше 20 дней.
Внеплановые проверки Роскомнадзора бывают документарные и выездные. При документарной проверке Роскомнадзор делает запрос на предоставление необходимых документов и указывает сроки, в которые их надо предоставить. О проведении внеплановой проверки оператора уведомляют не позднее, чем за 24 часа до ее начала любым способом. Обычно уведомляют по факсу или по телефону. Такие проверки проводятся, если вышел срок устранения выявленного нарушения, которое было выдано оператору предписанием. Обычной практикой является проведение Роскомнадзором внеплановой проверки после плановой. Это необходимо, для того, чтобы убедиться, что выявленные в ходе плановой проверки нарушения были устранены. Такая проверка обычно состоит в запросе Роскомнадзором документов, подтверждающих устранение нарушений.
Основанием для проведения внеплановой проверки являются (пункт 8 Правил № 146):
1) поступление в Роскомнадзор любой информации о нарушении прав субъектов персональных данных, предусмотренных главой 3 Закона N 152-ФЗ;
2) поручения Президента РФ и Правительства РФ, а также требования прокурора;
3) решение руководителя Роскомнадзора на основании проведенных сотрудниками Роскомнадзора мероприятий по контролю без взаимодействия с операторами (о них далее).
Длительность внеплановой проверки не может быть больше 10 рабочих дней и в исключительных случаях ее можно продлить на 20 рабочих дней (согласно пункту 17 Правил № 146).
При проведении проверки оператора, который работает в нескольких субъектах РФ одновременно, длительность проверки устанавливается отдельно по каждому филиалу, представительству оператора. При этом совокупная длительность такой проверки не может быть больше 60 рабочих дней.
Длительность проверки можно увеличить если:
1) при проведении проверки получены документы от правоохранительных органов, органов прокуратуры, которые говорят о нарушении требований обработки данных оператором;
2) на территории, где проводится проверка, произошли чрезвычайные обстоятельства, такие как цунами, наводнение, землетрясение и др.
3) оператором не были предоставлены необходимые документы при проведении проверки;
4) при проведении проверки были выявлены обстоятельства, связанные с большим объемом проверяемых и анализируемых документов.
О продлении срока проведения проверки Роскомнадзор обязан уведомить оператора в течение 3 дней после подписания приказа о продлении сроков проверки.
Если при проверке были выявлены случаи нарушений требований, то оператору вместе с актом проверки выдается документ с требованием устраненить выявленные нарушения. Предельный срок устранения выявленных в ходе проверки нарушений составляет 6 месяцев (пункт 47 Правил № 146).
