Súlad ako služba: ako dátové centrum pomáha podnikom pracovať s osobnými údajmi. Súdna prax pri sporoch o ochrane osobných údajov Kto je prevádzkovateľom osobných údajov

Ochrana osobných údajov a médií.

Povinné požiadavky federálneho zákona „o osobných údajoch“.

Slobodný prístup občanov k informáciám je obmedzený právom každého jednotlivca na integritu súkromia, osobné a rodinné tajomstvá, ochrana vlastnej cti a dobrého mena.

Ochranu súkromia podporuje každý legálne dokumenty: normy medzinárodného práva, Ústava Ruskej federácie, trestná, občianska, špecializovaná legislatíva.

Práva a slobody sú v celom rozsahu upravené v ústave Ruská legislatíva a to aj v zákone o osobných údajoch.

Cieľom prijatia federálneho zákona z 27. júla 2006 N 152-FZ „O osobných údajoch“ je implementácia ústavné ustanovenia, ktorým sa ustanovuje právo každého na súkromie a slobodu informácií.

Zákon používa tieto základné pojmy:

1) Osobné informácie- akékoľvek informácie týkajúce sa priamo alebo nepriamo určených alebo určených jednotlivcovi(k subjektu osobných údajov);

2) operátor - vládna agentúra, orgán obce, právnická osoba alebo fyzická osoba, ktorá samostatne alebo spoločne s inými osobami organizuje a (alebo) vykonáva spracúvanie osobných údajov, ako aj určuje účely spracúvania osobných údajov, zloženie osobných údajov, ktoré sa majú spracúvať, úkony ( operácie) vykonávané s osobnými údajmi;

3) spracúvanie osobných údajov- akákoľvek činnosť alebo súbor činností vykonávaných pomocou automatizačných nástrojov alebo bez použitia takýchto prostriedkov s osobnými údajmi, vrátane zhromažďovania, zaznamenávania, systematizácie, zhromažďovania, uchovávania, objasňovania, extrakcie, používania, prenosu (distribúcie, poskytovania, prístupu), depersonalizácie, blokovanie, vymazanie, likvidácia osobných údajov;

4) šírenie osobných údajov- akcie zamerané na sprístupnenie osobných údajov neurčitému počtu osôb;

5) poskytovanie osobných údajov- akcie zamerané na zverejnenie osobných údajov určitej osobe alebo určitý okruh osôb;

Hlavnými úlohami Roskomnadzoru, ako oprávneného orgánu na ochranu práv dotknutých osôb, sú okrem iného:

Zabezpečenie kontroly a dohľadu nad súladom spracúvania osobných údajov s požiadavkami legislatívy Ruskej federácie v oblasti osobných údajov;

vedenie registra prevádzkovateľov spracúvajúcich osobné údaje, ako aj kontrola informácií obsiahnutých v oznámení o spracúvaní osobných údajov;

Posudzovanie žiadostí subjektov osobných údajov, ako aj rozhodovanie v medziach ich právomocí na základe výsledkov ich posudzovania.

V súlade s časťou 1 čl. 22 spolkového zákona je prevádzkovateľ povinný pred začatím spracúvania osobných údajov oznámiť poverenému orgánu svoj zámer spracúvať osobné údaje. Prevádzkovatelia spracúvajúci osobné údaje sú povinní zaslať Poverenému orgánu oznámenie o spracúvaní osobných údajov.

„Subjekt osobných údajov sa z vlastnej vôle a vo vlastnom záujme rozhodne poskytnúť svoje osobné údaje a súhlasí s ich spracovaním...“ Prečo by chcel človek o sebe dávať informácie do médií, aký má záujem? toto? Je to jednoduché. Verejným ľuďom to dáva popularitu, verejnú autoritu a zvyšuje ich hodnotenie. Politici a podnikatelia sú pripravení zaplatiť si materiály o sebe – a to nielen počas volebných kampaní. Imidž je jednou zo zložiek úspechu v biznise aj v politike.

Novinársky arzenál však obsahuje nielen a nie toľko pozitívnych materiálov, ale aj kritiku, vyšetrovanie a odhalenia. Novinári vyšetrujú úradnú činnosť a rozhodnutia úradníkov, kritizujú úrady, finančné a priemyselné skupiny a odhaľujú korupciu. Tu sa vždy vynára otázka: do akej miery sú konkrétne médiá ochotné zájsť pri zverejňovaní takýchto materiálov, akú cenu sú ochotné zaplatiť za obranu záujmov spoločnosti a konkrétnych ľudí. Ak sú si istí, že majú pravdu, sú pripravení žalovať konkrétnych ľudí aj celé štruktúry.

Čo môže v tejto situácii zmeniť zákon o osobných údajoch? Je jasné, že hrdina korupčného škandálu nebude súhlasiť so zverejnením svojho mena „z vlastnej vôle a vo vlastnom záujme“. K svojim nárokom na ochranu cti a dôstojnosti, ohováranie alebo ochranu dobrej povesti podnikania pripojí aj nárok na porušenie práv subjektu osobných údajov. Je to ešte jeden možné riziko pri „realizácii odborná činnosť novinár."

Zákon neobsahuje priame obmedzenia novinárov, ale prax presadzovania práva, môžu nastať situácie, kedy môžu nastať určité obmedzenia. Dúfajme, že prax v oblasti presadzovania práva sa bude naďalej vyvíjať smerom, ktorý je pre tlač priaznivý.

Zákon a etické štandardy novinárskej profesie sú teda za nezverejňovanie informácií týkajúcich sa súkromnej sféry. Ako povedal jeden slávny politik, „človek by mal mať svoj vlastný osobný priestor, do ktorého možno vstúpiť len na pozvanie“.

Objavenie sa federálneho zákona „O osobných údajoch“ v roku 2006 si vynútilo významnú revíziu samotného princípu práce s osobnými údajmi. Akým problémom čelili médiá po prijatí tohto legislatívny akt? Na čo by ste si teraz mali dať väčší pozor? Ako minimalizovať riziko, že „veľmi gramotný“ čitateľ (divák) môže podať na médiá sťažnosť na Poverený orgán ochrany práv dotknutých osôb (Roskomnadzor)?

Dnes sú „noviny, články, televízne spoty konečný produkt v technologickom reťazci, ktorý začína prácou novinára na jeho osobnom počítači a končí elektronický archív hotový produkt, prístupný mnohým, a to aj prostredníctvom internetu.“ V tomto smere sa pravidlá týkajúce sa osobných údajov vzťahujú na celý tento technologický reťazec. Uvedené v posledné roky tendencia prevládať „elektronické publikácie“ na mediálnom trhu vytvára kvalitatívne novú situáciu. Rozvíjajúce sa technológie dnes umožňujú identifikovať spotrebiteľov (predplatiteľov), čo priamo súvisí s problematikou spracovania osobných údajov subjektov.

Okamžite sa vynárajú dve otázky. Sú prevádzkovateľmi médií osobné údaje? Je potrebné, aby redakcia zaslala oznámenie o zámere spracúvať osobné údaje Poverenému orgánu ochrany práv dotknutých osôb (Roskomnadzor)?

Odpoveď na prvú otázku je určite ÁNO. Po prvé, každá redakcia minimálne spracúva údaje svojich zamestnancov a nezávislých korešpondentov. Takmer všetky redakcie (najmä veľké médiá) vedú databázy „zaujímavých“ a „užitočných“ ľudí, hrdinov publikácií. Často zahŕňajú nielen obchodné kontakty, ale aj číslo mobilného telefónu, telefónne číslo domov a adresu bydliska.

Po druhé, predplatitelia, ktorých sme už spomenuli. Funkcie získavania predplatiteľov a organizácie predplatiteľskej spoločnosti dnes najčastejšie vykonáva organizácia tretej strany najatá redakciou na základe zmluvy. Podľa noriem federálneho zákona „O osobných údajoch“ je však prevádzkovateľom osobných údajov stále redakcia, pretože v tomto prípade určujú „účely spracúvania osobných údajov, zloženie osobných údajov, ktoré sa majú spracúvať, úkony vykonávané s osobnými údajmi“(odsek 2 článku 3). Publikácie sa samozrejme snažia z databáz predplatiteľov vylúčiť informácie, ktoré umožňujú identifikovať subjekt osobných údajov, a ak je to pri elektronických médiách vo väčšine prípadov možné, tak vo vzťahu k tlačeným médiám, kde sa publikácie zasielajú na konkrétnu adresu a konkrétnemu občanovi je to najčastejšie nereálne . Ak hovoríme o používateľoch káblových kanálov, dohodnú sa na spojení prostredníctvom uzavretia zmluvy, ktorá obsahuje aj pasové údaje predplatiteľa.

Teraz o upozornení. Môžete skúsiť pracovať s rôznymi článkami, ktoré vám umožnia vyhnúť sa vykonaniu tohto „formálneho“ kroku. Napríklad povedať, že údaje o zamestnancoch sa spracúvajú v súlade s pracovnou legislatívouže údaje účastníka sa spracúvajú na účely plnenia zmluvy, ktorej zmluvnou stranou je subjekt osobných údajov. Ale v druhom prípade, aby sa nepredložilo oznámenie, osobné údaje účastníkov sa nesmú distribuovať, neprenášať tretím stranám bez súhlasu subjektu, a čo je najdôležitejšie, musia sa použiť VÝHRADNE na vykonanie špecifikovaného dohoda. Zdá sa nám však, že stále nemá cenu strácať čas vyhýbaním sa nevyhnutnému, keďže prax vykonávania kontrolných a dozorných činností už dokázala, že nepodanie oznámenia Roskomnadzoru je jedným z najtypickejších porušení, ktoré zamestnanci tento úrad dávať pozor pri preverovaní odborov. Rovnako ako neúplnosť a nespoľahlivosť informácií obsiahnutých v tomto dokumente.

Kontrola redakcie novín Svetly Put po sťažnosti jedného z čitateľov.Počas overovania skutočností uvedených v odvolaní sa zistilo, že redaktori novín „Svetly Put“ porušili časť 1 článku 22 federálneho zákona „o osobných údajoch“. Na túto skutočnosť vo vzťahu k právnickej osobe SUE Orenburgská oblasť„Redakcia regionálnych novín Perevolotsk „Svetly Put“ vypracovala administratívny protokol podľa čl. 19.7 Kódexu správnych deliktov Ruskej federácie, ktorý je zaslaný súdu na posúdenie .

25. apríla 2022. Prímorský kraj.Plánovaná kontrola na mieste magistrátu unitárny podnik Redakcia televíznych programov „Pacific Television“, Fokino. (MUP RT “TTV”, Fokino). Spracúvanie osobných údajov sa vykonáva v rozpore s požiadavkami časti 3 článku 22 federálneho zákona z 27. júla 2006 č. 152-FZ „O osobných údajoch“ - oznámenie o spracúvaní osobných údajov s neúplnými, resp. registračnému orgánu boli predložené nespoľahlivé informácie. Na základe skutočnosti porušenia právnych predpisov o osobných údajoch bol spísaný protokol o správnom delikte podľa čl. 19.7 Kódexu správnych deliktov Ruskej federácie, ktorý bol zaslaný na posúdenie magistrátu súdna sekciač. 67 Fokino, Prímorské územie. Na odstránenie zisteného priestupku bol vydaný príkaz. Porušenie uvedené v príkaze je teraz odstránené .

Aké „výhody“ a privilégiá (takpovediac) poskytuje zákon „o osobných údajoch“ novinárom pri výkone ich profesionálnej činnosti? Na začiatok určme, že Zákon Ruská federácia zo dňa 27.12.1991 č.2124-1 „O fondoch masové médiá„obsahuje definíciu pojmu „novinár“, pričom jeho činnosť spája s oficiálne registrovaným masmédiom:

«… novinárom sa rozumie osoba zaoberajúca sa úpravou, tvorbou, zbieraním alebo prípravou správ a materiálov pre redakciu registrovaného masmédia, s ktorou pracovne alebo inak súvisí. zmluvných vzťahov alebo sa podieľa na takýchto činnostiach pod jej vedením (článok 2).“

Komentár od InfoTechnoProject:

Prvoradou podmienkou spracovania osobných údajov subjektov je súhlas subjektu s týmto spracovaním (časť 1 článku 6 spolkového zákona č. 152). Existuje však niekoľko výnimiek, kedy prevádzkovateľ osobných údajov získa právo takýto súhlas nezískať. Jedna z nich sa týka priamo médií.

Článok 6 . Podmienky spracovania osobných údajov

1. Spracovanie osobných údajov sa musí vykonávať v súlade so zásadami a pravidlami stanovenými týmto spolkovým zákonom. Spracúvanie osobných údajov je povolené v týchto prípadoch:

1) spracúvanie osobných údajov sa vykonáva so súhlasom subjektu osobných údajov so spracúvaním jeho osobných údajov;

…..8) spracúvanie osobných údajov je nevyhnutné na vykonávanie odborných činností novinára a (alebo) legitímnej činnosti masmédií alebo vedeckej, literárnej alebo inej tvorivej činnosti za predpokladu, že práva a legitímne záujmy subjektom osobných údajov.

V súvislosti s aplikáciou tohto zákonného ustanovenia je potrebné venovať pozornosť dvom nuansám. Po prvé, zákonodarca obmedzil rozsah aplikácie tohto právneho základu vo vzťahu k novinárom na požiadavku odbornej činnosti. To znamená, že len osoby vykonávajúce žurnalistiku ako profesionáli môžu využívať poskytnutý právny základ. Po druhé, ďalšou podmienkou zákonnosti aplikácie tejto normy je neporušovanie práv a slobôd subjektu osobných údajov, a to je najčastejšie akýmsi „kameňom úrazu“ vo vzťahu medzi novinárom ( redakcia) a subjekt, ktorého údaje boli zverejnené.

Ďalší článok zákona „O osobných údajoch“ sa priamo týka aj médií. Hovorí o povinnostiach prevádzkovateľa pri získavaní osobných údajov.

Článok 18 . Povinnosti prevádzkovateľa pri získavaní osobných údajov

3. Ak nebudú od subjektu osobných údajov získavané osobné údaje, prevádzkovateľ okrem prípadov uvedených v časti 4. tohto článku, je povinný pred spracovaním týchto osobných údajov poskytnúť dotknutej osobe tieto informácie:

1) meno alebo priezvisko, meno, priezvisko a adresa prevádzkovateľa alebo jeho zástupcu;

2) účel spracúvania osobných údajov a jeho právny základ;

3) zamýšľaní používatelia osobných údajov;

4) práva subjektu osobných údajov ustanovené týmto spolkovým zákonom;

5) zdroj získavania osobných údajov.

4. Prevádzkovateľ je zbavený povinnosti poskytnúť subjektu osobných údajov informácie zabezpečená časťou 3 tohto článku v prípadoch, keď:

…4) prevádzkovateľ spracúva osobné údaje na štatistické alebo iné výskumné účely, na odbornú činnosť novinára alebo vedeckú, literárnu alebo inú tvorivú činnosť, pokiaľ nedôjde k porušeniu práv a oprávnených záujmov subjektu osobných údajov.

Ako vidíme, v prípade prijímania osobných údajov subjektu, ktorý nie je od neho, je prevádzkovateľ osobných údajov povinný vykonať určitý postup na upovedomenie subjektu o spracúvaní jeho osobných údajov pred jeho začatím. Zákonodarca vyňal z pôsobnosti tejto normy aj profesionálnu činnosť novinára, pričom ju opäť obmedzil na podmienku neporušovania práv a oprávnených záujmov subjektu osobných údajov.

Aká prax bola doteraz vyvinutá na kontrolu médií ako prevádzkovateľov osobných údajov? Začnime niekoľkými príkladmi.

21. januára 2011. Orenburgská oblasť. Úrad Roskomnadzor pre región Orenburg dostal odvolanie od obyvateľa okresu Perevolotsky v regióne Orenburg so sťažnosťou na zverejnenie osobných údajov ich tragicky zosnulého syna v tlačenom médiu „Shining Path“: priezvisko, prvé meno, priezvisko, dátum narodenia, adresu bydliska a miesto štúdia bez súhlasu rodičov zosnulého. V súlade s časťou 7 článku 9 federálneho zákona „o osobných údajoch“ sa v prípade úmrtia subjektu osobných údajov udeľuje súhlas so spracovaním osobných údajov o ňom v písanie dedičia, ak takýto súhlas nedal subjekt osobných údajov za jeho života. Materiály boli zaslané prokuratúre regiónu Orenburg na prijatie opatrení na reakciu prokuratúry.

22. júla 2011. Chabarovská oblasť. Neplánované kontroly na mieste riaditeľstva Rospotrebnadzor pre Chabarovská oblasť a CJSC TV Company Dal-TV na základe žiadosti občana o distribúciu osobných údajov v spravodajskom bloku na kanáli TNT odvysielaním dokumentu obsahujúceho osobné údaje občana. Pri kontrolách sa zistilo, že Úrad Rospotrebnadzor pre územie Chabarovsk pridelil na rozhovor (komentár) k správe „Blatná história s problematickou vodou“ odborníka, ktorý počas nahrávania nezabezpečil dôvernosť osobných údajov občana. údajov, v dôsledku čoho tento dokument s osobnými údajmi bol zachytený na kameru a odvysielaný. Nezabezpečenie dôvernosti osobných údajov je porušením požiadaviek článku 7 časti 1 federálneho zákona č. 152 o osobných údajoch z 27. júla 2006.

25. júla 2011. Permská oblasť.Oddelenie Roskomnadzor pre Permská oblasť a prokuratúra mesta Dobryanka, územie Perm, vykonali spoločné vyšetrovanie v súvislosti s uverejnením zoznamu občanov predvolaných do návrhovej komisie v novinách „Kamskie Zori“, ako aj zoznamu občanov, ktorí boli upozornení a urobili nedoraziť na lekárske a návrhové komisie. Zoznamy obsahovali osobné údaje brancov. V dôsledku kontroly sa zistilo, že konanie novín je v rozpore s požiadavkami federálneho zákona č. 152-FZ z 27. júla 2006 „o osobných údajoch“ (časť 1 článku 6 a časť 1 článku 7) . V súvislosti s tým prokuratúra vo vzťahu k Mestská inštitúcia„Redakcia Dobryanského novín mestskej časti„Kama Dawns“ podal žalobu podľa čl. 13.11 Kódex správnych deliktov Ruskej federácie. Prípad bol postúpený sudcovi. Úrad Roskomnadzor pre Permské územie vydal denníku Kamskie Zori varovanie o neprípustnosti zneužívania slobody médií.

V dvoch z troch prípadov bolo dôvodom kontroly odvolanie občana a tento trend sledujeme, ak sa pozrieme na kontroly, ktoré prebehli v médiách v rokoch 2009 a 2010. Samozrejme, môžete ako zamestnanec média, novinár tvrdiť, že Vami zverejnené (pomenované, zobrazené) osobné údaje subjektu žiadnym spôsobom neporušujú oprávnené záujmy a práva tohto občana, ALE... Tu je celý problém spočíva v tom, že subjekt osobných údajov môže uvažovať úplne inak a podať sťažnosť na súd, Roskomnadzor. A aj keď nepreukáže skutočnosť porušenia týchto istých záujmov a práv, aj tak bude musieť prejsť celým nepríjemným konaním súdny proces alebo neplánované Roskomnadzorom.

Samozrejme, pre každý prípad sa môžete zásobiť súhlasom subjektu so zverejnením jeho osobných údajov, ale všetci chápeme, že takýto súhlas bude získaný iba vtedy, ak má materiál pozitívny význam alebo je pripravený v záujme samotného subjektu.

Ahojte všetci! Prevádzkujem centrum kybernetickej obrany DataLine. Zákazníci k nám prichádzajú s úlohou splniť požiadavky 152-FZ v cloude alebo na fyzickej infraštruktúre.
Takmer v každom projekte je potrebné vykonať osvetovú činnosť, aby sa vyvrátili mýty okolo tohto zákona. Zozbieral som najčastejšie mylné predstavy, ktoré môžu byť nákladné pre rozpočet a nervový systém prevádzkovateľa osobných údajov. Okamžite urobím výhradu, že prípady štátnych úradov (GIS) zaoberajúcich sa štátnym tajomstvom, KII atď. zostanú mimo rámca tohto článku.

Mýtus 1. Nainštaloval som antivírus, firewall a obohnal stojany plotom. Dodržiavam zákon?

• na aký účel zhromažďujete osobné údaje;
• či ich nazbierate viac, ako potrebujete pre svoje účely;
• ako dlho uchovávate osobné údaje;
• existujú zásady spracovania osobných údajov;
• Získavate súhlas na spracovanie osobných údajov, cezhraničný prenos, spracovanie tretími stranami atď.

• Štandardný formulár súhlasu so spracovaním osobných údajov (to sú hárky, ktoré dnes podpisujeme takmer všade tam, kde zanechávame celé meno a údaje o pase).
• Zásady prevádzkovateľa týkajúce sa spracovania osobných údajov (sú tam odporúčania pre registráciu).
• Príkaz o určení osoby zodpovednej za organizáciu spracovania osobných údajov.
• Náplň práce osoby zodpovednej za organizáciu spracovania osobných údajov.
• pravidlá vnútorná kontrola a (alebo) audit súladu spracovania PD s právnymi požiadavkami.
• Zoznam informačných systémov osobných údajov (ISPD).
• Nariadenia o poskytovaní prístupu subjektu k jeho osobným údajom.
• Predpisy o vyšetrovaní incidentov.
• Príkaz o pripustení zamestnancov k spracúvaniu osobných údajov.
• Predpisy pre interakciu s regulátormi.
• Oznámenie RKN atď.
• Formulár pokynu na spracovanie PD.
• Model hrozby ISPD.

realita: súlad so zákonom je zriadenie a dodržiavanie určitých procesov v prvom rade a až po druhé - použitie špeciálnych technických prostriedkov.

Mýtus 2. Osobné údaje ukladám v cloude, dátovom centre, ktoré spĺňa požiadavky 152-FZ. Teraz sú zodpovední za dodržiavanie zákona

Spracúvanie osobných údajov – akákoľvek akcia (operácia) alebo súbor úkonov (operácií) vykonaná pomocou nástrojov automatizácie alebo bez použitia takýchto prostriedkov s osobnými údajmi, vrátane zhromažďovania, zaznamenávania, systematizácie, zhromažďovania, uchovávania, objasňovania (aktualizácie, zmeny), extrakcia, použitie, prenos (distribúcia, poskytovanie, sprístupnenie), depersonalizácia, blokovanie, vymazanie, zničenie osobných údajov.
Zdroj: Článok 3, 152-FZ

Zo všetkých týchto úkonov je poskytovateľ služby zodpovedný za uchovávanie a likvidáciu osobných údajov (keď s ním klient ukončí zmluvu). Všetko ostatné zabezpečuje prevádzkovateľ osobných údajov. To znamená, že prevádzkovateľ, a nie poskytovateľ služby, určuje politiku spracúvania osobných údajov, získava od svojich klientov podpísané súhlasy so spracúvaním osobných údajov, predchádza a prešetruje prípady úniku osobných údajov tretím stranám a pod.

V dôsledku toho musí prevádzkovateľ osobných údajov naďalej zhromažďovať dokumenty, ktoré boli uvedené vyššie, a vykonávať organizačné a technické opatrenia na ochranu svojho PDIS.

Poskytovateľ zvyčajne pomáha operátorovi zabezpečením súladu s právnymi požiadavkami na úrovni infraštruktúry, kde sa bude nachádzať ISPD operátora: stojany so zariadením alebo cloud. Zhromažďuje tiež balík dokumentov, prijíma organizačné a technické opatrenia pre svoju časť infraštruktúry v súlade s 152-FZ.

Niektorí poskytovatelia pomáhajú s papierovaním a zabezpečením technických bezpečnostných opatrení pre samotné ISDN, teda na úrovni nad infraštruktúrou. Prevádzkovateľ môže tieto úlohy aj outsourcovať, ale zodpovednosť a povinnosti zo zákona tým nezanikajú.

realita: Využívaním služieb poskytovateľa alebo dátového centra na neho nemôžete preniesť povinnosti prevádzkovateľa osobných údajov a zbaviť sa zodpovednosti. Ak vám to poskytovateľ sľubuje, tak mierne povedané klame.

Mýtus 3. Mám potrebný balík dokumentov a opatrení. Osobné údaje uchovávam u poskytovateľa, ktorý sľubuje dodržiavanie 152-FZ. Je všetko v poriadku?

Ďalej sa ustanovuje povinnosť poskytovateľa zachovávať mlčanlivosť o osobných údajoch a zabezpečiť ich bezpečnosť v súlade s určenými požiadavkami:

Poskytovateľ za to zodpovedá prevádzkovateľovi, a nie subjektu osobných údajov:

Ak prevádzkovateľ poverí spracúvaním osobných údajov inú osobu, prevádzkovateľ zodpovedá subjektu osobných údajov za úkony uvedenej osoby. Prevádzkovateľovi zodpovedá osoba spracúvajúca osobné údaje v mene prevádzkovateľa.
Zdroj: 152-FZ.

V objednávke je tiež dôležité uviesť povinnosť zabezpečiť ochranu osobných údajov:

realita: Ak poskytovateľovi poskytnete osobné údaje, podpíšte objednávku. V objednávke uveďte požiadavku na zabezpečenie ochrany osobných údajov subjektov. V opačnom prípade nedodržiavate zákon týkajúci sa prenosu práce na spracovanie osobných údajov tretej strane a poskytovateľ vám v súvislosti s dodržiavaním 152-FZ nič nedlhuje.

Mýtus 4. Mossad ma špehuje, alebo určite mám UZ-1

• druh osobných údajov (špeciálne, biometrické, verejne dostupné a iné);
• kto je vlastníkom osobných údajov – zamestnanci alebo osoby, ktoré nie sú zamestnancami prevádzkovateľa osobných údajov;
• počet dotknutých osôb – viac-menej 100 tisíc.
• typy súčasných hrozieb.

Hrozby 1. typu sú pre informačný systém relevantné, ak sú preň okrem iného relevantné hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme. softvér používané v informačnom systéme.

Ak uznávate tento typ hrozby ako relevantný, potom ste pevne presvedčení, že agenti CIA, MI6 alebo MOSSAD umiestnili do operačný systém záložku na odcudzenie osobných údajov konkrétnych subjektov z vášho ISPD.

Hrozby 2. typu sú pre informačný systém relevantné, ak sú preň relevantné aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme.

Ak si myslíte, že hrozby druhého typu sú váš prípad, potom spíte a uvidíte, ako tí istí agenti CIA, MI6, MOSSAD, zlý osamelý hacker alebo skupina umiestnili záložky do nejakého balíka kancelárskeho softvéru, aby presne hľadali vaše osobné údaje. Áno, existuje pochybný aplikačný softvér ako μTorrent, ale môžete vytvoriť zoznam povoleného softvéru na inštaláciu a podpísať zmluvu s používateľmi, neudeliť používateľom práva lokálneho správcu atď.

Hrozby 3. typu sú relevantné pre informačný systém, ak sú preň relevantné hrozby, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačnom softvéri používanom v informačnom systéme.

Hrozby typu 1 a 2 nie sú pre vás vhodné, preto je toto miesto pre vás.

Vytriedili sme typy hrozieb, teraz sa pozrime, akú úroveň bezpečnosti bude mať naša ISPD.

Tabuľka na základe korešpondencie predpísanej v nariadení vlády Ruskej federácie z 1. novembra 2012 č. 1119.

Ak by sme zvolili tretí typ skutočných hrozieb, tak vo väčšine prípadov budeme mať UZ-3. Jedinou výnimkou, kedy hrozby typu 1 a 2 nie sú relevantné, no úroveň zabezpečenia bude stále vysoká (UZ-2), sú spoločnosti, ktoré spracúvajú osobitné osobné údaje nezamestnaných osôb v objeme nad 100 tis napríklad spoločnosti zaoberajúce sa lekárskou diagnostikou a poskytovaním Zdravotnícke služby.

Existuje aj UZ-4 a nachádza sa najmä v spoločnostiach, ktorých podnikanie nesúvisí so spracovaním osobných údajov osôb, ktoré nie sú zamestnancami, t.j. klientov alebo dodávateľov, alebo sú databázy osobných údajov malé.

Prečo je také dôležité nepreháňať to s úrovňou zabezpečenia? Je to jednoduché: od toho bude závisieť súbor opatrení a prostriedkov ochrany, ktoré zabezpečia práve túto úroveň bezpečnosti. Čím vyššie KM, tým viac bude potrebné urobiť v organizačnej a technicky(čítajte: tým viac peňazí a nervov budete musieť minúť).

Tu je napríklad uvedené, ako sa mení súbor bezpečnostných opatrení v súlade s rovnakým PP-1119.

Teraz sa pozrime, ako sa v závislosti od zvoleného stupňa zabezpečenia mení zoznam potrebných opatrení v súlade s nariadením FSTEC Ruska č. Opatrenia. Spolu ich je 109, pre každý km sú definované povinné opatrenia a označené znamienkom „+“ - sú presne vypočítané v tabuľke nižšie. Ak necháte iba tie potrebné pre UZ-3, dostanete 41.

realita: ak nezbierate testy alebo biometriu od klientov, nie ste paranoidní zo záložiek v systémovom a aplikačnom softvéri, tak s najväčšou pravdepodobnosťou máte UZ-3. Obsahuje primeraný zoznam organizačných a technických opatrení, ktoré je možné skutočne realizovať.

Mýtus 5. Všetky prostriedky ochrany osobných údajov musia byť certifikované FSTEC Ruska

• záujem o predaj viac certifikovaných zariadení na ochranu informácií;
• bude sa báť odobratia licencie regulátorom, ak sa niečo pokazí.

Technické opatrenia na ochranu osobných údajov sa realizujú pomocou nástrojov informačnej bezpečnosti vrátane softvérových (hardvérových) nástrojov, v ktorých sú implementované, pričom potrebné funkcie bezpečnosť.
Pri použití v informačné systémy informačná bezpečnosť znamená certifikované podľa požiadaviek informačnej bezpečnosti:

Klauzula 12 príkazu č. 21 FSTEC Ruska.

realita: nevyžaduje zákon povinné používanie certifikované ochranné prostriedky.

Mýtus 6. Potrebujem kryptoochranu

1. Mnoho ľudí verí, že kryptografia je povinná pre každý ISPD. V skutočnosti by sa mali používať iba vtedy, ak prevádzkovateľ pre seba nevidí žiadne iné ochranné opatrenia okrem použitia kryptografie.
2. Ak sa nezaobídete bez kryptografie, musíte použiť CIPF certifikovaný FSB.
3. Napríklad sa rozhodnete hostiť ISPD v cloude poskytovateľa služieb, ale neveríte mu. Opisujete svoje obavy v modeli hrozby a votrelca. Máte osobné údaje, takže ste sa rozhodli, že kryptografia je jediný spôsob, ako sa chrániť: budete šifrovať virtuálne stroje, budovať zabezpečené kanály pomocou kryptografickej ochrany. V takom prípade budete musieť použiť CIPF certifikovaný FSB Ruska.
4. Certifikované CIPF sa vyberajú v súlade s určitou úrovňou bezpečnosti v súlade s nariadením č. 378 FSB.

KC2, KS3 sú zastúpené iba softvérovými a hardvérovými systémami, ako sú: ViPNet Coordinator, APKSH „Continent“, S-Terra Gateway atď.

Ak máte UZ-2 alebo 1, budete potrebovať kryptografické ochranné prostriedky triedy KV1, 2 a KA. Ide o špecifické softvérové ​​a hardvérové ​​systémy, ich obsluha je náročná a ich výkonové charakteristiky sú skromné.

realita: Zákon nezaväzuje používať CIPF certifikované FSB.

Kancelária Roskomnadzor pre Uralský federálny okruh usporiadala seminár pre tlač s vysvetlením noviniek v legislatíve. Ministerstvo poznamenalo, že ak novinárom uniknú osobné údaje, bude sa to považovať za zneužitie slobody médií. Redakcia v tomto prípade riskuje, že dostane varovanie od Roskomnadzoru. Dve upozornenia za rok sú dôvodom na podanie žaloby na ukončenie činnosti publikácie. Na seminári sa hovorilo o tom, ako takejto situácii predchádzať.

Iniciály, priezvisko, pozícia - a to je všetko

Jednou z hlavných inovácií je, že novinári majú teraz právo čerpať len obmedzené informácie z otvorených zdrojov. Napríklad je dovolené uviesť meno a priezvisko (bez patronymie) hrdinu materiálu, ako aj jeho pozíciu alebo miesto výkonu práce. Ale popis toho, kde a ako žije, s kým komunikuje, sa už považuje za porušenie zákona, aj keď túto informáciu sám zverejnil na sociálnych sieťach. Alebo novinár môže urobiť opak: povedať čo najviac podrobností o živote človeka, ale text „odosobniť“ – zmeniť meno alebo ho „zašifrovať“ iniciálami. Ako vysvetlila Anastasia Gogoleva, vedúca oddelenia ochrany práv subjektov osobných údajov oddelenia Roskomnadzor pre Uralský federálny okruh, hlavným kritériom je objem zverejnených informácií o osobe. Ak informácie neprispievajú k osobnej identifikácii, môžu byť voľne zverejnené v médiách.

V každom inom prípade musí autor materiálu získať súhlas osoby, ktorej osobné údaje sa chystá zverejniť. Navyše v niektorých situáciách musí byť súhlas udelený písomne ​​– tieto prípady sú uvedené v článkoch 8, 10, 11, 12 a 16 federálny zákon"O osobných údajoch." Napríklad sprístupnenie informácií týkajúcich sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života je podľa zákona možné len so súhlasom osoby. Podobná situácia je aj s fotografiami a video materiálmi. Ak sú pre osobu identifikovateľné, považuje sa to za zverejnenie biometrických údajov a vyžaduje si súhlas dotknutej osoby. Jedinou výnimkou je zverejňovanie fotografií pri pátraní a vyšetrovacie akcie. Pre médiá existuje len jediné východisko – zverejňovať fotografie bez titulkov alebo pod nimi poskytovať minimálne informácie. „Ak čitateľ nedokáže identifikovať osobu zobrazenú na fotografii, nebudú žiadne sťažnosti,“ ubezpečili zástupcovia Roskomnadzoru.

Koniec vyšetrovaní

Nový výklad ochrany osobných údajov samozrejme pobúril novinárov. Obmedzenia prakticky ukončili vyšetrovanie skorumpovaných úradníkov, politikov a iných verejných činiteľov. Ako môžete opísať zverstvá? úradník, skrývajúc svoje meno pred čitateľmi? Zástupcovia Roskomnadzoru uviedli, že spoločensky významné informácie nevyhodnocujú, ale iba kontrolujú dodržiavanie zákona o osobných údajoch. Napríklad, ak sa urazený úradník sťažuje na nezákonné šírenie svojich osobných údajov v akejkoľvek publikácii, Roskomnadzor bude povinný poslať žiadosť médiám. Novinári majú právo odpovedať, že zverejnenie údajov bolo vo verejnom záujme. Potom súd tento spor vyrieši. Mimochodom, na Urale takéto precedensy ešte neboli.

Roskomnadzor zároveň uviedol skutočný príklad, keď bolo zverejnenie príjmu štátneho zamestnanca označené za porušenie zákona. Novinár prevzal informácie z oficiálneho vyhlásenia úradníka, v ktorom bol uvedený aj príjem jeho manželky, a vo svojom texte doplnil pozíciu manželky zamestnanca a „zázemie“. Okamžite nasledovala sťažnosť mocnej rodiny.

Nároky môžu vzniknúť aj na takéto neškodné publikácie, ktoré poskytujú informácie o kariérnej histórii úradníka – kde študoval a pracoval. V tomto prípade musí novinár získať súhlas aj od „subjektu osobných údajov“. Aj keď sú tu aj nuansy. Ako poznamenala Anastasia Gogoleva, Roskomnadzor sleduje najmä dodržiavanie zákona vo vzťahu k maloletým a overovanie publikácií s osobnými údajmi dospelých sa zvyčajne vykonáva na základe vyjadrení občanov. Oddelenie dostane približne 40 takýchto žiadostí ročne.

O deťoch takmer nič

O prísnych obmedzeniach Roskomnadzoru týkajúcich sa zverejňovania údajov o maloletých sa už písalo. Predstavitelia rezortu dnes opäť pripomenuli, že novinárske materiály musia chrániť práva dieťaťa. Šírenie osobných údajov detí postihnutých nezákonným konaním je zakázané. Okrem toho nezákonné konanie môže spadať pod Kódex správnych deliktov, to znamená, že aj na tieto prípady sa vzťahuje banálny boj v škole. Fotografiu maloletého môžete zverejniť len so súhlasom jeho rodičov resp zákonný zástupca. Ak dieťa dosiahlo vek 14 rokov, treba ho požiadať o povolenie. Ak bol spáchaný trestný čin proti sexuálnej integrite maloletého, fotografiu obete nemožno zverejniť ani po skončení vyšetrovania. Výnimkou môže byť len fotografia dieťaťa, ktoré sa stratilo a polícia po ňom pátra. Po nájdení dieťaťa je lepšie, aby sa médiá obmedzili na minimum informácií o „stratenom“ dieťati, aby nedošlo k sankciám.

Získa sa prax

Zástupcovia Roskomnadzoru poznamenali, že právomoc ukladať pokuty za nedodržanie zákona o osobných údajoch na nich prejde od 1. júla. Zapnuté tento moment súdna prax na základe povolenia kontroverzné otázky v tejto oblasti prakticky žiadny nie je, ale ako vyplýva z vyššie uvedeného, ​​jeho príchod na seba nenechá dlho čakať. Nový zákon výrazne zvyšuje výšku pokút za porušenie zverejňovania osobných údajov. Ak teraz peňažné sankcie predstavujú 5 až 10 000 rubľov, potom od druhej polovice roka pokuty za právnických osôb už bude od 20 do 75 tisíc rubľov. Zároveň je dôležité pripomenúť, že do Kódexu správnych deliktov bolo zaradených sedem ďalších priestupkov týkajúcich sa osobných údajov, to znamená, že sumy pokút za priestupky sa spočítajú.

Na Roskomnadzore bol deň 27. júla otvorené dvere. V situačnom centre zástupcovia rezortu hovorili o právnych novinkách v zákone o osobných údajoch a odpovedali aj na otázky verejnosti.

Prevažnú časť prítomných tvorili novinári a členovia podnikateľskej sféry. Akcie sa zúčastnil aj korešpondent Federálna tlačová agentúra.

Nové prístupy pre nové časy

Roskomnadzor hovoril o prijatých novelách zákona o osobných údajoch. Podľa zástupcu šéfa Roskomnadzoru Alexej Pankov Téma ochrany osobných údajov občanov sa v posledných rokoch stala veľmi aktuálnou a nadobudla mimoriadne dynamický vývoj.

Pankov sa domnieva, že je to kvôli širokej distribúcii rôznych mobilné zariadenia, rozvoj internetových technológií, ako aj hromadenie značného množstva informácií o občanoch v elektronických databázach.

“Všetky tieto procesy postupne vedú k tomu, že doterajšie názory na úlohu a miesto spracovania osobných údajov v informačnej spoločnosti vyžadujú modernizáciu,“ dodal Pankov. - To povzbudzuje regulátora, aby verejné organizácie a združenia, aby hľadali nové prístupy k vytváraniu spoľahlivých mechanizmov na ochranu informácií o občanoch.“

Chráňte Rusov

Zástupca vedúceho odboru ochrany práv dotknutých osôb Roskomnadzor Alfija Gafurová hovoril o právnych novinkách v zákone o osobných údajoch.

Zmeny sa dotkli najmä článku 13.11 Kódexu správnych deliktov Ruskej federácie. IN správny poriadok Zavádza sa 7 nových zlúčenín správne delikty v oblasti osobných údajov. Okrem toho od 1. júla 2017 má Roskomnadzor právomoc iniciovať prípady ustanovené týmito novými zloženiami.

najmä správny trest bude nasledovať pre chýbajúci písomný súhlas so spracovaním osobných údajov, porušenie lehôt na objasnenie, blokovanie alebo likvidáciu osobných údajov, za nesplnenie povinností pri depersonalizácii osobných údajov a iné porušenia. Legislatíva stanovuje varovania a pokuty od 6 do 75 tisíc rubľov.

Prijaté novinky podľa predstaviteľov rezortu pomôžu chrániť osobné údaje Rusov pred nekalým využívaním.

Hlasom - do banky!

Po predstavení právnych noviniek pracovníci Roskomnadzoru niekoľko hodín odpovedali na otázky prítomných. Úradníkov sa pýtali na konkrétne postupy presadzovania práva a na vyhliadky na ochranu osobných údajov vo všeobecnosti. Väčšinou otázky prichádzali od obchodných zástupcov.

Najmä na otázku o potrebe zmeny politiky osobných údajov po zavedení biometrickej verifikácie v bankách rezort odpovedal: samozrejme je potrebné získať písomný súhlas na použitie biometrických údajov klienta.

Veľa otázok kládli spoločnosti, ktoré Roskomnadzoru podali oznámenia o použití osobných údajov, no potom sa v zozname nenašli. Zástupca oddelenia, st štátny inšpektor Anastasia Klochková zdôrazňuje: v tomto prípade je potrebné podať oznámenie znova. Faktom je, že oznámenia spoločností často nespĺňajú zákonné požiadavky a je potrebné ich zmeniť.

Dobrá pomoc

Svoju otázku položil aj korešpondent FAN. Zaujímalo nás, ako súvisí zákon o osobných údajoch s činnosťou médií. Je rozhovor so známou osobou zverejnením osobných údajov? A bude uvedenie celého mena a fotografie v článku osobným údajom? Je potrebné žiadať od každého hrdinu článku súhlas s uverejnením?

Vedúci oddelenia Roskomnadzor na ochranu práv dotknutých osôb Jurij Kontemirov Začal som tým, že samotná definícia osobných údajov je dosť široká.

„Ak vychádzame z definície, zákon jasne hovorí: ide o akékoľvek informácie, ktoré sa priamo alebo nepriamo týkajú jednotlivca a umožňujú jeho identifikáciu,“ vysvetľuje Kontemirov. "Identifikácia subjektu nie je hlavným kritériom klasifikácie informácií ako osobných údajov."