Съответствието като услуга: как центърът за данни помага на бизнеса да работи с лични данни. Съдебна практика по спорове за защита на личните данни Кой е оператор на лични данни

Защита на лични данни и медии.

Задължителни изисквания на Федералния закон „За личните данни“.

Свободният достъп на гражданите до информация е ограничен от правото на всеки индивид на почтеност поверителност, лични и семейни тайни, защита на честта и доброто име.

Защитата на поверителността се поддържа от всички юридически документи: норми на международното право, Конституцията на Руската федерация, наказателно, гражданско, специализирано законодателство.

Правата и свободите са регламентирани в Конституцията, в цялата руското законодателствои включително в закона за личните данни.

Приемането на Федералния закон от 27 юли 2006 г. N 152-FZ „За личните данни“ има за цел да приложи конституционни разпоредби, установявайки правото на всеки на неприкосновеност на личния живот и свобода на информацията.

Законът използва следните основни понятия:

1) лични данни- всякаква информация, свързана с пряко или непряко определени или определени на физическо лице(на субекта на личните данни);

2) оператор - държавна агенция, общински орган, юридическо или физическо лице, което самостоятелно или съвместно с други лица организира и (или) извършва обработка на лични данни, както и определяне на целите на обработката на лични данни, състава на личните данни, които се обработват, действия ( операции), извършвани с лични данни;

3) обработване на лични данни- всяко действие или набор от действия, извършени с помощта на инструменти за автоматизация или без използването на такива средства с лични данни, включително събиране, запис, систематизиране, натрупване, съхранение, изясняване, извличане, използване, прехвърляне (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни;

4) разпространение на лични данни- действия, насочени към разкриване на лични данни на неопределен кръг лица;

5) предоставяне на лични данни- действия, насочени към разкриване на лични данни на определено лицеили определен кръг лица;

Основните задачи на Roskomnadzor, като упълномощен орган за защита на правата на субектите на лични данни, са, наред с други неща:

Осигуряване на контрол и надзор върху съответствието на обработката на лични данни с изискванията на законодателството на Руската федерация в областта на личните данни;

Поддържане на регистър на операторите, обработващи лични данни, както и проверка на информацията, съдържаща се в уведомлението за обработване на лични данни;

Разглеждане на искания от субекти на лични данни, както и вземане на решения в рамките на техните правомощия въз основа на резултатите от тяхното разглеждане.

В съответствие с част 1 на чл. 22 от Федералния закон, преди да започне обработката на лични данни, операторът е длъжен да уведоми упълномощения орган за намерението си да обработва лични данни. Операторите, обработващи лични данни, са длъжни да изпращат уведомление за обработката на лични данни до Упълномощения орган.

„Субектът на лични данни решава да предостави личните си данни и се съгласява те да бъдат обработвани по собствена воля и в свой интерес...” Защо човек иска да дава информация на медиите за себе си, какъв интерес има от това? Това е просто. За публичните хора това дава популярност, обществен авторитет и повишава рейтинга им. Политици и бизнесмени са готови да плащат за материали за себе си – и то не само по време на предизборни кампании. Имиджът е един от компонентите на успеха както в бизнеса, така и в политиката.

Но журналистическият арсенал съдържа не само и не толкова положителни материали, но и критики, разследвания и разкрития. Журналистите разследват служебните действия и решения на длъжностни лица, критикуват власти, финансови и индустриални групи и разобличават корупцията. Тук винаги възниква въпросът докъде са готови да стигнат конкретни медии, когато публикуват такива материали, каква цена са готови да платят за защита на интересите на обществото и конкретни хора. Ако са уверени, че са прави, тогава са готови да съдят както конкретни хора, така и цели структури.

Какво може да промени законът за личните данни в тази ситуация? Ясно е, че героят на корупционния скандал няма да се съгласи името му да бъде публикувано „по собствено желание и в свой интерес“. Към исковете си за защита на честта и достойнството, клевета или защита на бизнес репутацията, той ще добави и иск за нарушаване правата на субекта на лични данни. Това е само още един възможен рискпри „изпълнение професионална дейностжурналист."

Законът не съдържа директни ограничения за журналистите, но правоприлагаща практика, може да има ситуации, при които да възникнат някои ограничения. Да се надяваме, че правоприлагащата практика все пак ще се развие в благоприятна за пресата посока.

Така законът и етичните стандарти на журналистическата професия са в полза на непубликуването на информация, отнасяща се до личната сфера. Както каза един известен политик, „човек трябва да има свое лично пространство, в което може да се влезе само с покана“.

Появата на Федералния закон „За личните данни“ през 2006 г. наложи значително преразглеждане на самия принцип на работа с лична информация. С какви проблеми се сблъскаха медиите след приемането на това законодателен акт? На какво трябва да обърнете повече внимание сега? Как да сведем до минимум риска „много грамотен“ читател (зрител) да подаде жалба срещу медиите до Упълномощения орган за защита на правата на субектите на лични данни (Роскомнадзор)?

Днес „вестниците, статиите, телевизионните клипове са крайния продуктв технологичната верига, която започва с работата на журналиста на неговия персонален компютър и завършва електронен архивзавършен продукт, достъпен за мнозина, включително чрез интернет. В тази връзка правилата относно личните данни важат за цялата тази технологична верига. Посочено в последните годинитенденцията на медийния пазар да преобладават “електронните издания” създава качествено нова ситуация. Нововъзникващите технологии вече позволяват идентифицирането на потребителите (абонати) и това е пряко свързано с проблемите на обработката на лични данни на субектите.

Веднага възникват два въпроса. Медийните оператори притежават ли лични данни? Необходимо ли е редакцията да изпрати уведомление за намерението си да обработва лични данни до Упълномощения орган за защита на правата на субектите на лични данни (Роскомнадзор)?

Отговорът на първия въпрос определено е ДА. Първо, всяка редакция най-малко обработва данните на своите служители и кореспонденти на свободна практика. Почти всички редакции (особено големите медии) поддържат бази данни с „интересни“ и „полезни“ хора, герои на публикации. Те често включват не само бизнес контакти, но и мобилен телефонен номер, домашен телефонен номер и адрес на живеене.

Второ, абонатите, които вече споменахме. Днес най-често функциите по привличане на абонати и организиране на абонаментна компания се изпълняват от трета организация, наета от редакцията по договор. Но според нормите на Федералния закон „За личните данни“ операторът на лични данни все още е редакцията, тъй като те определят в този случай „целите на обработката на лични данни, състава на личните данни, които ще бъдат обработвани, действията, извършвани с лични данни“(клауза 2 на член 3). Разбира се, публикациите се стремят да изключат от абонатните бази данни информация, която позволява идентифициране на субекта на личните данни, и ако при електронните медии това в повечето случаи е възможно, то по отношение на печатните медии, където публикациите се изпращат на определен адрес и за конкретен гражданин това най-често е нереалистично. Ако говорим за потребители на кабелни канали, тогава те организират връзка чрез сключване на споразумение, което включва и паспортните данни на абоната.

Сега за известието. Можете да опитате да работите с различни статии, които ви позволяват да избегнете извършването на тази „официална“ стъпка. Например, да се каже, че данните на служителите се обработват в съответствие с трудовото законодателствоче абонатните данни се обработват с цел изпълнение на договор, по който субектът на личните данни е страна. Но в последния случай, за да не се изпраща уведомление, личните данни на абонатите не трябва да се разпространяват, да не се прехвърлят на трети страни без съгласието на субекта и най-важното, трябва да се използват ИЗКЛЮЧИТЕЛНО за изпълнение на посочените споразумение. Струва ни се обаче, че все още не си струва да губим време, за да избегнем неизбежното, тъй като практиката за извършване на контролни и надзорни дейности вече е доказала, че неподаването на уведомление до Роскомнадзор е едно от най-типичните нарушения, които служителите на този офис обърнете внимание, когато проверявате медийните отдели. Както и непълнотата и недостоверността на информацията, съдържаща се в този документ.

Проверка на редакцията на вестник "Светли път" по жалба на читател.По време на проверката на фактите, посочени в жалбата, бяха разкрити нарушения от страна на редакторите на вестник „Светли път“ на част 1 на член 22 от Федералния закон „За личните данни“. По този факт по отношение на юридическото лице СУЕ Оренбургска област„В редакцията на Переволоцкия областен вестник „Светли път“ е съставен административен протокол по чл. 19.7 от Кодекса за административните нарушения на Руската федерация, който се изпраща на съда за разглеждане .

25 април 2022 г. Приморски регион.Планирана проверка на място на Общин унитарно предприятиеРедакция на телевизионни програми „Тихоокеанска телевизия“, Фокино. (МУП РТ “ТТВ”, Фокино). Обработката на лични данни се извършва в нарушение на изискванията на член 22, част 3 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“ - уведомление за обработка на лични данни с непълни или на регистриращия орган е подадена недостоверна информация. Въз основа на факта на нарушение на законодателството за личните данни е съставен протокол за административно нарушение по чл. 19.7 от Кодекса за административните нарушения на Руската федерация, който е изпратен за разглеждане на магистрата съдебна секция№ 67 Фокино, Приморски край. Издадено е предписание за отстраняване на констатираното нарушение. Посоченото в заповедта нарушение към момента е отстранено .

Какви „облаги” и привилегии (така да се каже) дава Законът за личните данни на журналистите, осъществяващи професионалната си дейност? Като начало нека определим, че Законът руска федерацияот 27 декември 1991 г. № 2124-1 „За фондовете средства за масово осведомяване"съдържа определение на понятието "журналист", свързващо дейността му с официално регистрирана медия:

«… под журналист се разбира лице, което се занимава с редактиране, създаване, събиране или подготовка на съобщения и материали за редакцията на регистрирана медия, свързано с нея по трудово или друго договорни отношенияили участва в такива дейности под негово ръководство (член 2).“

Коментар от ИнфоТехноПроект:

Основното условие за обработката на лични данни на субектите е съгласието на субекта да извърши тази обработка (част 1 на член 6 от Федералния закон № 152). Но има редица изключения, когато операторът на лични данни придобива правото да не получава такова съгласие. Едно от тях засяга пряко медиите.

Член 6 . Условия за обработка на лични данни

1. Обработката на лични данни трябва да се извършва в съответствие с принципите и правилата, предвидени в този федерален закон. Обработването на лични данни е разрешено в следните случаи:

1) обработката на лични данни се извършва със съгласието на субекта на личните данни за обработката на личните му данни;

…..8) обработването на лични данни е необходимо за осъществяване на професионалните дейности на журналист и (или) законните дейности на средствата за масово осведомяване или научни, литературни или други творчески дейности, при условие че правата и законни интересисубект на лични данни.

Във връзка с прилагането на тази законова разпоредба си струва да се обърне внимание на два нюанса. Първо, законодателят ограничи приложното поле на това правно основание по отношение на журналистите до изискването за професионална дейност. Това означава, че само лица, които професионално се занимават с журналистика, могат да се възползват от предоставеното правно основание. Второ, друго условие за законосъобразност на прилагането на тази норма е ненарушаването на правата и свободите на субекта на личните данни, а именно това най-често е своеобразен „препъникамък“ в отношенията между журналистите ( редакция) и субекта, чиито данни са публикувани.

Друг член от Закона за личните данни също засяга пряко медиите. В него се говори за отговорностите на оператора при събиране на лични данни.

Член 18 . Задължения на оператора при събиране на лични данни

3. Ако личните данни не се получават от субекта на личните данни, операторът, с изключение на случаите, предвидени в част 4 на тази статия, преди да обработва такива лични данни, е длъжен да предостави на субекта на лични данни следната информация:

1) име или фамилия, собствено име, бащино име и адрес на оператора или негов представител;

2) целта на обработването на лични данни и правното му основание;

3) целеви потребители на лични данни;

4) правата на субекта на личните данни, установени от този федерален закон;

5) източник на получаване на лични данни.

4. Операторът се освобождава от задължението да предоставя информация на субекта на личните данни предвидени по част 3 на този член, в случаите, когато:

…4) операторът обработва лични данни за статистически или други изследователски цели, за професионалната дейност на журналист или научна, литературна или друга творческа дейност, освен ако не се нарушават правата и законните интереси на субекта на личните данни.

Както виждаме, в случай на получаване на лични данни на субекта не от самия него, операторът на лични данни е длъжен да извърши определена процедура за уведомяване на субекта за обработката на личните му данни, преди да започне. Законодателят извади и професионалната дейност на журналиста от обхвата на тази норма, като отново я ограничи до условието за ненарушаване на правата и законните интереси на субекта на личните данни.

Каква практика е изградена досега за проверка на медиите като оператори на лични данни? Да започнем с няколко примера.

21 януари 2011 г. Оренбургска област. Службата на Роскомнадзор за Оренбургска област получи жалба от жител на Переволоцки район на Оренбургска област с оплакване относно публикуването в печатната медия „Сияен път“ на личните данни на техния трагично загинал син: фамилия, име име, бащино име, дата на раждане, адрес на пребиваване и място на обучение, без съгласието на родителите на починалия. В съответствие с част 7 от член 9 от Федералния закон „За личните данни“, в случай на смърт на субекта на личните данни, съгласието за обработка на лична информация за него се дава в писменонаследници, ако такова съгласие не е дадено от субекта на личните данни приживе. Материалите са изпратени в прокуратурата на Оренбургска област за предприемане на прокурорски мерки.

22 юли 2011 г. Хабаровска област. Непланирани проверки на място на дирекцията на Роспотребнадзор за Хабаровска области CJSC TV Company Dal-TV по искане на гражданин за разпространение на лични данни в новинарския блок на канала TNT чрез излъчване на документ, съдържащ личните данни на гражданина. По време на проверките е установено, че Службата на Роспотребнадзор за Хабаровски край е възложила на специалист да даде интервю (коментар) на репортажа „Мътна история с мътна вода“, който по време на записа не е осигурил поверителността на личните данни на гражданите. данни, в резултат на което този документс лични данни беше заснет на камера и излъчен. Неспазването на поверителността на личните данни е нарушение на изискванията на част 1 на член 7 от Федералния закон от 27 юли 2006 г. № 152 „За личните данни“.

25 юли 2011 г. Пермска област.Отдел Роскомнадзор за Пермска области прокуратурата на град Добрянка, Пермска територия, проведоха съвместно разследване на публикуването във вестник "Камские зори" на списък на гражданите, призовани в проектната комисия, както и списък на гражданите, които са били уведомени и са направили не пристигат на медицинските и призовните комисии. Списъците съдържаха лични данни на наборници. В резултат на проверката беше установено, че действията на вестника противоречат на изискванията на Федерален закон № 152-FZ от 27 юли 2006 г. „За личните данни“ (част 1 на член 6 и част 1 на член 7) . Във връзка с това прокуратурата по отношение на Общинска институция„Редакцията на вестник Добрянски общински район"Кама зори" образува дело по чл. 13.11 от Кодекса за административните нарушения на Руската федерация. Случаят е предаден на магистрат. Службата на Роскомнадзор за Пермския край отправи предупреждение към вестник "Камские зори" за недопустимостта на злоупотреба със свободата на медиите.

В два от три случая причината за проверката е жалба на гражданин, като тази тенденция се забелязва, ако разгледаме проверките, извършени в медиите през 2009 г. и 2010 г. Разбира се, вие можете като медиен служител, журналист да твърдите, че публикуваните (назовани, показани) от вас лични данни на субекта по никакъв начин не нарушават законните интереси и права на този гражданин, НО... Ето тук целият проблем е, субектът на личните данни може да мисли съвсем различно и да подаде жалба до съда, Roskomnadzor. И дори да не докаже факта на нарушение на същите тези интереси и права, той пак ще трябва да премине през цялата неприятна процедура изпитаниеили непланирано от Roskomnadzor.

Разбира се, за всеки случай можете да се запасите със съгласието на субекта да публикува личните му данни, но всички разбираме, че такова съгласие ще бъде получено само ако материалът има положителна конотация или е подготвен в интерес на самия субект.

здравейте всички Аз управлявам DataLine Cyber Defense Center. Клиентите идват при нас със задачата да изпълнят изискванията на 152-FZ в облака или във физическа инфраструктура.
В почти всеки проект е необходимо провеждането на образователна работа за развенчаване на митовете около този закон. Събрах най-често срещаните заблуди, които могат да струват скъпо на бюджета и нервната система на оператора на лични данни. Веднага ще направя уговорка, че случаите на държавни служби (GIS), занимаващи се с държавни тайни, KII и т.н., ще останат извън обхвата на тази статия.

Мит 1. Инсталирах антивирусна програма, защитна стена и оградих стелажите с ограда. Спазвам ли закона?

152-FZ не е за защита на системи и сървъри, а за защита на личните данни на субектите. Следователно спазването на 152-FZ започва не с антивирус, а с голям брой парчета хартия и организационни проблеми.
Главният инспектор Роскомнадзор няма да гледа присъствието и състоянието технически средствазащита, и правно основаниеза обработка на лични данни (ЛД):

с каква цел събирате лични данни;
дали събирате повече от тях, отколкото са ви необходими за вашите цели;
колко дълго съхранявате личните данни;
има ли политика за обработка на лични данни;
Събирате ли съгласие за обработка на лични данни, трансграничен трансфер, обработка от трети страни и др.

Отговорите на тези въпроси, както и самите процеси, трябва да бъдат записани в подходящи документи. Далеч от това пълен списъккакво трябва да подготви операторът на лични данни:

Стандартен формуляр за съгласие за обработка на лични данни (това са листовете, които сега подписваме почти навсякъде, където оставяме трите си имена и паспортни данни).
Политика на оператора относно обработката на лични данни (има препоръки за регистрация).
Заповед за назначаване на лице, отговорно за организиране на обработката на лични данни.
Длъжностна характеристика на лицето, отговорно за организиране на обработката на лични данни.
правила вътрешен контроли (или) одит на съответствието на обработката на PD със законовите изисквания.
Списък на информационните системи за лични данни (ИСЛД).
Правила за предоставяне на субекта на достъп до неговите лични данни.
Правила за разследване на инциденти.
Заповед за допускане на служители до обработка на лични данни.
Правила за взаимодействие с регулаторите.
Уведомяване на РКН и др.
Формуляр за инструкции за обработка на ПД.
ISPD модел на заплаха.

След решаването на тези проблеми можете да започнете да избирате конкретни мерки и технически средства. Кои от тях са ви необходими зависи от системите, техните работни условия и текущите заплахи. Но повече за това малко по-късно.

Реалност:спазването на закона е установяването и спазването на определени процеси, на първо място, и едва на второ място - използването на специални технически средства.

Мит 2. Съхранявам лични данни в облака, център за данни, който отговаря на изискванията на 152-FZ. Сега те са отговорни за прилагането на закона

Когато възложите съхранението на лични данни на облачен доставчик или център за данни, вие не преставате да бъдете оператор на лични данни.
Да извикаме на помощ определението от закона:

Обработка на лични данни – всяко действие (операция) или съвкупност от действия (операции), извършвани с помощта на средства за автоматизация или без използването на такива средства с лични данни, включително събиране, запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане, използване, трансфер (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни.
Източник: член 3, 152-FZ

От всички тези действия доставчикът на услугата е отговорен за съхраняването и унищожаването на личните данни (когато клиентът прекрати договора с него). Всичко останало се предоставя от оператора на лични данни. Това означава, че операторът, а не доставчикът на услугата, определя политиката за обработка на лични данни, получава подписани съгласия за обработка на лични данни от своите клиенти, предотвратява и разследва случаите на изтичане на лични данни към трети лица и др.

Следователно операторът на лични данни все още трябва да събира документите, изброени по-горе, и да прилага организационни и технически мерки за защита на своите PDIS.

Обикновено доставчикът помага на оператора, като гарантира спазването на законовите изисквания на ниво инфраструктура, където ще бъде разположен ISPD на оператора: стелажи с оборудване или облак. Той също така събира пакет от документи, предприема организационни и технически мерки за своята част от инфраструктурата в съответствие с 152-FZ.

Някои доставчици помагат с документацията и осигуряването на технически мерки за сигурност за самите ISDN, т.е. на ниво над инфраструктурата. Операторът може и да възложи тези задачи, но отговорността и задълженията по закона не отпадат.

Реалност:Използвайки услугите на доставчик или център за данни, вие не можете да му прехвърлите отговорностите на оператор на лични данни и да се освободите от отговорност. Ако доставчикът ви обещава това, тогава, меко казано, той лъже.

Мит 3. Имам необходимия пакет от документи и мерки. Съхранявам лични данни при доставчик, който обещава съответствие с 152-FZ. всичко наред ли е

Да, ако си спомните да подпишете поръчката. По закон операторът може да повери обработването на лични данни на друго лице, например на същия доставчик на услуги. Поръчката е вид споразумение, което изброява какво може да направи доставчикът на услуги с личните данни на оператора.

Установява се и задължението на доставчика да пази поверителността на личните данни и да гарантира тяхната сигурност в съответствие с посочените изисквания:

За това доставчикът носи отговорност пред оператора, а не пред субекта на личните данни:

Ако операторът възложи обработката на лични данни на друго лице, операторът носи отговорност пред субекта на личните данни за действията на посоченото лице. Лицето, обработващо лични данни от името на оператора, носи отговорност пред оператора.
Източник: 152-FZ.

Също така е важно в заповедта да се предвиди задължението за осигуряване на защита на личните данни:

Реалност:Ако предоставяте лични данни на доставчика, подпишете поръчката. В заповедта посочете изискването за осигуряване на защита на личните данни на субектите. В противен случай вие не спазвате закона относно прехвърлянето на обработка на лични данни на трета страна и доставчикът не ви дължи нищо по отношение на спазването на 152-FZ.

Мит 4. Мосад ме шпионира или определено имам UZ-1

Някои клиенти упорито доказват, че имат ISPD с ниво на сигурност 1 или 2. Най-често това не е така. Нека си спомним хардуера, за да разберем защо се случва това.
LO, или нивото на сигурност, определя от какво ще защитите личните си данни.
Нивото на сигурност се влияе от следните точки:

вид лични данни (специални, биометрични, публично достъпни и други);
кой притежава личните данни – служители или неслужители на оператора на лични данни;
брой субекти на лични данни – повече или по-малко 100 хиляди.
видове текущи заплахи.

Постановление на правителството на Руската федерация от 1 ноември 2012 г. № 1119 ни разказва за видовете заплахи. Ето описание на всеки с моя безплатен превод на човешки език.

Заплахите от 1-ви тип са релевантни за една информационна система, ако заплахите, свързани с наличието на недокументирани (недекларирани) възможности в системата, също са релевантни за нея. софтуеризползвани в информационната система.

Ако признаете този тип заплаха за уместна, тогава твърдо вярвате, че агенти на ЦРУ, MI6 или MOSSAD са поставили операционна системаотметка за кражба на лични данни на конкретни субекти от вашия ISPD.

Заплахите от 2-ри тип са релевантни за една информационна система, ако заплахите, свързани с наличието на недокументирани (недекларирани) възможности в приложния софтуер, използван в информационната система, също са релевантни за нея.

Ако смятате, че заплахите от втория тип са вашият случай, тогава спите и виждате как същите агенти на ЦРУ, MI6, MOSSAD, зъл самотен хакер или група са поставили отметки в някакъв офис софтуерен пакет, за да търсят специално вашите лични данни. Да, има съмнителен приложен софтуер като μTorrent, но можете да направите списък с разрешен софтуер за инсталиране и да подпишете споразумение с потребителите, да не давате на потребителите права на локален администратор и т.н.

Заплахи от тип 3 са релевантни за една информационна система, ако заплахи, които не са свързани с наличието на недокументирани (недекларирани) възможности в системата и приложния софтуер, използван в информационната система, са релевантни за нея.

Заплахите от тип 1 и 2 не са подходящи за вас, така че това е мястото за вас.

Подредихме видовете заплахи, сега нека да разгледаме какво ниво на сигурност ще има нашият ISPD.

Таблица, базирана на съответствията, предписани в Указ на правителството на Руската федерация от 1 ноември 2012 г. № 1119.

Ако изберем третия тип действителни заплахи, тогава в повечето случаи ще имаме UZ-3. Единственото изключение, когато заплахите от тип 1 и 2 не са от значение, но нивото на сигурност ще бъде високо (UZ-2), са компаниите, които обработват специални лични данни на неслужители в размер на повече от 100 000 For например компании, занимаващи се с медицинска диагностика и предоставяне на медицински услуги.

Съществува и UZ-4 и се среща главно в компании, чиято дейност не е свързана с обработка на лични данни на лица, които не са служители, т.е. клиенти или контрагенти, или базите с лични данни са малки.

Защо е толкова важно да не прекалявате с нивото на сигурност? Всичко е просто: наборът от мерки и средства за защита за осигуряване на това ниво на сигурност ще зависи от това. Колкото по-високо е KM, толкова повече ще трябва да се направи в организационни и технически(прочетете: толкова повече пари и нерви ще трябва да похарчите).

Ето, например, как се променя наборът от мерки за сигурност в съответствие със същия PP-1119.

Сега нека видим как в зависимост от избраното ниво на сигурност списъкът с необходимите мерки се променя в съответствие със Заповед на FSTEC на Русия № 21 от 18 февруари 2013 г. Към този документ има дълго приложение, което определя необходимите мерки. Те са общо 109, като за всяко КМ са определени и отбелязани със знак „+“ задължителни мерки – точно изчислени са в таблицата по-долу. Ако оставите само необходимите за UZ-3, получавате 41.

Реалност:ако не събирате тестове или биометрични данни от клиенти, не сте параноични относно отметките в системния и приложния софтуер, тогава най-вероятно имате UZ-3. Осигурен е разумен списък от организационни и технически мерки, които реално могат да бъдат изпълнени.

Мит 5. Всички средства за защита на личните данни трябва да бъдат сертифицирани от FSTEC на Русия

Ако искате или трябва да извършите сертифициране, тогава най-вероятно ще трябва да използвате сертифицирани предпазни средства. Сертифицирането ще се извършва от лицензианта FSTEC на Русия, което:

заинтересовани от продажбата на повече сертифицирани устройства за защита на информацията;
ще се страхува от отнемане на лиценза от регулатора, ако нещо се обърка.

Ако не се нуждаете от сертифициране и сте готови да потвърдите съответствието с изискванията по друг начин, посочен в Заповед на FSTEC на Русия № 21 „Оценка на ефективността на мерките, въведени в рамките на системата за защита на личните данни за гарантиране на сигурността на личните данни данни”, тогава не се изискват сертифицирани системи за информационна сигурност. Ще се опитам да обясня накратко обосновката.

Техническите мерки за защита на личните данни се прилагат чрез използването на средства за защита на информацията, включително софтуерни (хардуерни) средства, в които са внедрени, като необходими функциисигурност.
Когато се използва в информационни системисредства за информационна сигурност, сертифицирани съгласно изискванията за информационна сигурност:

Клауза 12 от Заповед № 21 на FSTEC на Русия.

Реалност:не се изисква от закона задължителна употребасертифицирани предпазни средства.

Мит 6. Имам нужда от крипто защита

Тук има няколко нюанса:

Много хора вярват, че криптографията е задължителна за всеки ISPD. Всъщност те трябва да се използват само ако операторът не вижда други мерки за защита за себе си, освен използването на криптография.
Ако не можете без криптография, тогава трябва да използвате CIPF, сертифициран от FSB.
Например, вие решавате да хоствате ISPD в облака на доставчик на услуги, но не му вярвате. Описвате притесненията си в модел на заплаха и натрапник. Имате лични данни, така че сте решили, че криптографията е единственият начин да се защитите: ще шифровате виртуални машини, ще изградите сигурни канали, използвайки криптографска защита. В този случай ще трябва да използвате CIPF, сертифициран от FSB на Русия.
Сертифицираните CIPF се избират в съответствие с определено ниво на сигурност в съответствие със Заповед № 378 на FSB.

За ISPDn с UZ-3 можете да използвате KS1, KS2, KS3. KS1 е например C-Terra Virtual Gateway 4.2 за защита на канали.

KC2, KS3 са представени само от софтуерни и хардуерни системи, като: ViPNet Coordinator, APKSH „Континент“, S-Terra Gateway и др.

Ако имате UZ-2 или 1, тогава ще ви трябват средства за криптографска защита от клас KV1, 2 и KA. Това са специфични софтуерни и хардуерни системи, те са трудни за работа и характеристиките им на работа са скромни.

Реалност:Законът не задължава използването на CIPF, сертифициран от FSB.

Службата на Роскомнадзор за Уралския федерален окръг проведе семинар за пресата с разяснения за нововъведенията в законодателството. Отделът отбеляза, че ако журналисти изтекат лични данни, това ще се счита за злоупотреба със свободата на медиите. В този случай редакторите рискуват да получат предупреждение от Роскомнадзор. Две предупреждения за една година са основание за завеждане на дело за прекратяване на дейността на изданието. Как да се предотврати подобна ситуация беше обсъдено на семинара.

Инициали, фамилия, длъжност - и това е всичко

Едно от основните нововъведения е, че журналистите вече имат право да вземат само ограничена информация от отворени източници. Например, позволено е да се споменава името и фамилията (без отчество) на героя на материала, както и неговата длъжност или място на работа. Но описанието къде и как живее, с кого общува вече се счита за нарушение на закона, дори ако самият човек е публикувал тази информация в социалните мрежи. Или журналистът може да направи обратното: да разкаже възможно най-много подробности за живота на човек, но да „обезличи“ текста - да промени името или да го „шифрова“ с инициали. Както обясни Анастасия Гоголева, ръководител на отдела за защита на правата на субектите на лични данни на отдела на Роскомнадзор за Уралския федерален окръг, основният критерий е обемът на публикуваната информация за дадено лице. Ако информацията не допринася за личната идентификация, тя може да бъде свободно публикувана в медиите.

Във всеки друг случай авторът на материала трябва да получи съгласието на лицето, чиито лични данни ще публикува. Освен това в някои ситуации съгласието трябва да бъде дадено в писмен вид - тези случаи са изброени в членове 8, 10, 11, 12 и 16 федерален закон„Относно личните данни“. Например, според закона, разкриването на информация, свързана с раса, националност, политически възгледи, религиозни или философски убеждения, здравословно състояние, интимен живот, е възможно само с разрешение на лицето. Подобно е положението и със снимките и видео материалите. Ако те могат да бъдат идентифицирани от дадено лице, това се счита за освобождаване на биометрични данни и изисква съгласието на субекта. Единственото изключение е публикуването на снимки по време на търсене и следствени действия. Има само един изход за медиите - да публикуват снимки без надписи или да предоставят минимална информация под тях. „Ако читателят не може да идентифицира лицето, изобразено на снимката, няма да има оплаквания“, увериха представители на Роскомнадзор.

Край на разследванията

Разбира се, новото тълкуване на защитата на личните данни възмути журналистите. Ограниченията на практика слагат край на разследванията срещу корумпирани служители, политици и други публични личности. Как можете да описвате зверства? официален, скривайки името си от читателите? Представители на Роскомнадзор заявиха, че не оценяват социално значима информация, а само проверяват спазването на закона „За личните данни“. Например, ако обиден служител се оплаче от незаконното разпространение на личните му данни в която и да е публикация, Роскомнадзор ще бъде длъжен да изпрати искане до медиите. Журналистите имат право да отговорят, че разкриването на данни е било в обществен интерес. Тогава съдът ще реши този спор. Между другото, в Урал все още не е имало такива прецеденти.

В същото време Роскомнадзор цитира пример от реалния живот, когато публикуването на доходите на държавен служител е определено като нарушение на закона. Журналистът взе информация от официалната декларация на служителя, в която се посочват и доходите на съпругата му, а в текста си добави длъжността на съпругата на служителя и „биография“. Веднага последва жалба от властната фамилия.

Претенции могат да възникнат и към такива безобидни издания, които дават информация за кариерната история на един чиновник – къде е учил и работил. В този случай журналистът също трябва да получи съгласие от „субекта на личните данни“. Въпреки че тук има и нюанси. Както отбеляза Анастасия Гоголева, Роскомнадзор следи главно за спазването на закона по отношение на непълнолетни, а проверката на публикации с лични данни на възрастни обикновено се извършва въз основа на изявления на граждани. Годишно във ведомството постъпват около 40 такива молби.

За децата почти нищо

Вече беше писано за строгите ограничения на Роскомнадзор относно публикуването на данни за непълнолетни. Днес служители на ведомството отново напомниха, че журналистическите материали трябва да защитават правата на детето. Разпространението на лични данни на деца, засегнати от незаконни действия, е забранено. Освен това незаконните действия могат да попаднат в Кодекса за административните нарушения, тоест баналната битка в училище също се отнася за тези случаи. Можете да публикувате снимка на непълнолетно лице само със съгласието на неговите родители или законен представител. Ако детето е навършило 14 години, трябва да се иска разрешение от него. Ако е извършено престъпление срещу половата неприкосновеност на непълнолетно лице, снимка на жертвата не може да бъде публикувана, дори и след приключване на разследването. Единственото изключение може да бъде снимка на дете, което се е изгубило и полицията го издирва. След като детето е намерено, по-добре е медиите да се ограничат до минимална информация за „изгубеното“ дете, за да не понесат санкции.

Ще се натрупа практика

Представители на Роскомнадзор отбелязаха, че правомощията за налагане на глоби за неспазване на Закона за личните данни ще бъдат прехвърлени към тях от 1 юли. включено в моментасъдебна практика по разрешение спорни въпросив тази област практически няма, но, както следва от горното, няма да отнеме много време да пристигне. Новият закон значително увеличава размера на глобите за нарушения на публикуването на лични данни. Ако сега паричните санкции възлизат на 5-10 хиляди рубли, то от втората половина на годината глобите за юридически лицавече ще бъде от 20 до 75 хиляди рубли. В същото време е важно да запомните, че Кодексът за административните нарушения включва седем допълнителни нарушения, свързани с личните данни, тоест сумите на глобите за нарушения ще бъдат сумирани.

27 юли беше ден в Роскомнадзор отворени врати. В ситуационния център представители на ведомството разказаха за правните новости в закона за личните данни, а също така отговориха на въпроси на обществеността.

По-голямата част от присъстващите бяха журналисти и представители на бизнеса. На събитието присъства и кореспондент Федерална новинарска агенция.

Нови подходи за нови времена

Роскомнадзор говори за приетите изменения в закона за личните данни. Според заместник-началника на Роскомнадзор Алексей Панков, темата за защитата на личните данни на гражданите стана много актуална през последните години и придоби особено динамично развитие.

Панков смята, че това се дължи на широкото разпространение на различни мобилни устройства, развитието на интернет технологиите, както и натрупването на значително количество информация за гражданите в електронни бази данни.

„Всички тези процеси постепенно водят до факта, че предишните възгледи за ролята и мястото на обработване на лични данни в информационно обществоизискват модернизация“, допълни Панков. - Това насърчава регулатора да обществени организациии сдруженията да търсят нови подходи за създаване на надеждни механизми за защита на информацията за гражданите.“

Пазете руснаците

Заместник-началник на отдела за защита на правата на субектите на лични данни на Roskomnadzor Алфия Гафуроваговори за правни новости в закона за личните данни.

По-специално, промените засегнаха член 13.11 от Кодекса за административните нарушения на Руската федерация. IN административен кодексВъвеждат се 7 нови съединения административни нарушенияв областта на личните данни. Освен това от 1 юли 2017 г. Роскомнадзор е натоварен с правомощията да образува дела, предвидени в тези нови състави.

по-специално, административно наказаниеще последва за липса на писмено съгласие за обработка на лични данни, нарушаване на срокове за изясняване, блокиране или унищожаване на лични данни, за неизпълнение на задължения за обезличаване на лични данни и други нарушения. Законодателството предвижда предупреждения и глоби от 6 до 75 хиляди рубли.

Според служители на ведомството, приетите нововъведения ще помогнат за защитата на личните данни на руснаците от нечестна употреба.

С глас - към банката!

След представянето на правните иновации служителите на Роскомнадзор прекараха няколко часа, отговаряйки на въпроси на присъстващите. Длъжностните лица бяха запитани за конкретните практики на правоприлагането и за перспективите за защита на личните данни като цяло. Въпросите бяха предимно от представители на бизнеса.

По-специално, на въпрос относно необходимостта от промяна на политиката за лични данни след въвеждането на биометрична проверка в банките, отделът отговори: разбира се, необходимо е да се получи писмено съгласие за използване на биометричните данни на клиента.

Много въпроси бяха зададени от компании, които са изпратили известия за използване на лични данни до Roskomnadzor, но след това не са се озовали в списъка. Представител на отдела, ст държавен инспектор Анастасия Клочковаподчертава: в този случай е необходимо уведомлението да се подаде отново. Факт е, че често фирмените уведомления не отговарят на законовите изисквания и трябва да се променят.

Добра помощ

Своя въпрос зададе и кореспондент на ФЕН. Интересувахме се как се отнася законът за личните данни към дейността на медиите. Разкриване на лична информация ли е интервю с известна личност? И посочването на трите имена и снимка в статията лични данни ли ще бъдат? Необходимо ли е всеки герой на статията да иска съгласие за публикуване?

Ръководител на отдела за защита на правата на субектите на лични данни на Роскомнадзор Юрий КонтемировЗапочнах с това, че самото определение за лични данни е доста широко.

„Ако започнем от дефиницията, законът ясно казва: това е всяка информация, която пряко или косвено се отнася до физическо лице и позволява то да бъде идентифицирано“, обяснява Контемиров. „Идентифицирането на субекта не е основният критерий за класифициране на информация като лични данни.“