Управление персональными данными. Роскомнадзор об обработке персональных данных. Размещение личной информации в общедоступном месте

02.12.2009 Валерий Васенин, Кирилл Шапченко

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов остались открытыми. Без их решения многие из положений закона не смогут быть реализованы на практике.

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов, связанных в первую очередь с механизмами обеспечения информационной безопасности, в силу объективных технологических причин остались открытыми. Попробуем систематизировать некоторые из них и обозначим подходы к их решению.

Рассматривая вопросы обеспечения информационной безопасности, возникающие при сборе, обработке, хранении и использовании персональных данных, следует выделить несколько условных уровней их разрешения.

Уровень 1. Персональные данные находятся под контролем субъекта, к которому они относятся. В этом случае вся ответственность по обеспечению их безопасности на этапах сбора, первичной обработки и систематизации, хранения и предоставления другим пользователям возлагается на самого субъекта. Исходя из положений ФЗ-152 он определяет политику безопасного использования таких данных, архитектуру и набор средств защиты, собственно их аппаратно-программное обеспечение. В этом случае ответственность за реализацию нормативных актов ложится на субъекта персональных данных. Регулятор может оказывать субъекту методическую помощь и содействие.

Уровень 2. Управление персональными данными берет на себя посредник – юридическое или физическое лицо, заключающее с субъектом персональных данных договор, определяющий условия их сбора, обработки, хранения и использования. В этом случае вся полнота ответственности за их информационную безопасность возлагается на организацию-посредника.

Уровень 3. Управление персональными данными осуществляют субъекты таких данных вместе с организацией той или иной формы собственности, которая не специализируется в области управления персональными данными, однако по роду своей деятельности обладает таковыми в составе коллекций других документов и вынуждена собирать их, обрабатывать и хранить. К числу таких организаций относятся, например, банки, различного рода другие кредитные организации, учреждения социальной направленности и ведомства силового блока. Посредником в таком взаимодействии могут выступать и организации, специализирующиеся в области управления персональными данными. Как следствие, при этом возникают угрозы несанкционированной утечки персональных данных через различные каналы связи, а также извлечения персональных данных из других коллекций данных и документов более общего характера. В ходе работы с документами в подобных организациях сложно гарантировать, в первую очередь с позиций технологических и административно-организационных, что будут приняты все декларируемые положениями ФЗ-152 меры по обеспечению безопасности персональных данных и соблюдению права субъекта на санкционированный доступ к своим персональным данным в коллекциях документов и на обработку его персональных данных.

Разработка механизмов эффективной реализации положений и требований закона в полном объеме, выпуск спецификаций к реализующим такие механизмы программным средствам, создание высокофункционального, верифицируемого и отчуждаемого программного обеспечения информационных систем обработки персональных данных – все это относится к важнейшим задачам государства. Но далеко не все вопросы на этом направлении сегодня решены. Рассмотрим отдельные положения ФЗ-152, требования к функциям информационных систем для обработки персональных данных, к механизмам их реализации, которые заслуживают особого внимания и диктуют необходимость проведения дополнительных теоретических и прикладных исследований.

Отправные положения и функциональные требования

Статья 3 закона определяет ряд основных понятий, касающихся действий, которые производятся с персональными данными: распространение, блокирование, уничтожение и обезличивание персональных данных. Эти операции должны составлять основу бизнес-процессов информационной системы для работы с персональными данными. В контексте целей настоящей публикации обратим внимание на отмеченное в пункте 2 данной статьи функциональное требование к такой информационной системе – предоставление гарантий по ограничению срока хранения данных в зависимости от состояния процесса их обработки.

Интерпретируя статью 19, в первую очередь следует отметить цели обеспечения безопасности, связанные с защитой персональных данных от несанкционированного доступа при выполнении таких операций, как чтение, изменение и удаление данных. Требование защиты от неправомерного блокирования персональных данных влечет за собой необходимость обеспечения не только их конфиденциальности и целостности, но и доступности. Более детальные требования, согласно пункту 2 статьи 19, утверждаются Правительством РФ. Одним из документов, регулирующих этот аспект информационных систем персональных данных, является Постановление Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В пунктах 11 и 12 перечисляются основные требования и мероприятия по обеспечению безопасности, устанавливаются требования по перманентному контролю за состоянием защищенности информационной системы персональных данных, повышенные требования по восстановлению после сбоев и несанкционированных действий, а также по разработке и описанию модели угроз персональным данным, по созданию системы их защиты. Разработка методических материалов по обеспечению безопасности информационных систем для работы с персональными данными возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и на Федеральную службу безопасности Российской Федерации в пределах их полномочий. Реализация перечисленных требований – технологически сложная задача, механизмов решения которой в полном объеме сегодня нет.

В статье 21 закона отмечается необходимость реализации таких служебных операций в информационных системах персональных данных, как блокирование и снятие блокировки с персональных данных, а также их надежное удаление. Такие операции должны быть «привязаны» к статусу обрабатываемых персональных данных и к состоянию процессов их обработки, а именно – должны выполняться по завершении обработки и в случаях обнаружения неправомерных операций с данными либо выявления их недостоверности. Указанное обстоятельство свидетельствует о повышенных требованиях к механизмам управления бизнес-процессами в организации-посреднике при работе с персональными данными. Разработка таких механизмов, регламентов их применения и программных реализаций с использованием традиционных средств вычислительной техники с позиций требований руководящих документов ФСТЭК, других стандартов и рекомендаций – отдельная, технологически сложная задача.

Дополнительное требование к функциональным возможностям информационных систем обработки персональных данных определяется в статье 14 закона. Пункт 4 этой статьи указывает на необходимость предоставления субъекту персональных данных служебной информации о процессах обработки таких данных. Выполнение этих требований возможно только с применением механизмов детального протоколирования процессов обработки и использования персональных данных, в том числе – протоколирования информации о режиме доступа к таким данным. Реализация этих требований в полном объеме с использованием традиционных информационных систем на настоящее время пока не представляется возможной.

Перечисленные отдельные положения закона требуют более детального осмысления, в первую очередь – с позиции их применения на практике, разработки необходимого для этого математического и программного обеспечения.

Требования к информационным системам

Проанализируем некоторые положения закона с точки зрения требований к механизмам и формальным моделям, удовлетворяющим букве ФЗ-152. Во-первых, отметим, что в информационной системе для обработки персональных данных должен вводиться дополнительный класс объектов – класс персональных данных. Правила доступа к объектам этого класса необходимо задавать отдельно от других. Кроме того, возможно определение отдельных категорий данных такого вида с отличающимися правилами доступа к ним. Как следствие, может быть востребована реализация процедур изменения категории доступа к персональным данным, например, при их обезличивании.

Отмеченные обстоятельства указывают на необходимость разработки формальных моделей логического разграничения доступа к данным и реализующих их программных средств, адаптированных к потребностям и особенностям обработки и использования персональных данных. В том числе представляется целесообразным при формировании механизмов блокирования и снятия блокировки с персональных данных в максимальной степени использовать традиционные в системах защиты информации средства разграничения доступа. На основе верификации программного кода и, как следствие, корректной программной реализации моделей и механизмов логического разграничения доступа может быть выполнена часть требований к защите персональных данных, представленных в части 1 статьи 19. Заметим, что их следствием является высокий оценочный уровень доверия к автоматизированным системам. Суть этих требований сводится к предотвращению несанкционированного доступа к персональным данным с целью их чтения или изменения, а также к предоставлению гарантий на потоки данных в информационной системе, включая копирование и распространение.

С точки зрения разработки механизмов и программных средств автоматизированного управления персональными данными важно отметить необходимость реализации механизмов их надежного удаления из информационной системы. Надежное удаление, как правило, подразумевает уничтожение самого удаляемого объекта и всех его копий, включая резервные и временные, которые создаются под потребности используемых аппаратно-программных средств. Разработка механизмов и программного обеспечения такого удаления – отдельная и достаточно тонкая задача, требующая своего решения.

Для того чтобы эффективно контролировать сроки хранения персональных данных и выполнять процедуру их своевременного надежного удаления, должны быть созданы механизмы мониторинга состояния процессов обработки и использования персональных данных. Представляется целесообразным совместить решение этой задачи с созданием специализированной системы управления бизнес-процессами, адаптированной для выполнения действий над персональными данными. Срок выполнения ряда операций над персональными данными может устанавливаться неявно, например через условие, что обработка данных завершена либо перестала быть необходимой. Своевременное реагирование на выполнение такого условия, в свою очередь, приводит к необходимости формального описания, проектирования средств автоматизации процессов обработки персональных данных с целью обеспечить гарантированное (с высокой вероятностью) выполнение операций их удаления по истечении срока хранения.

Принимая во внимание упомянутые требования закона по реализации своевременной выдачи субъекту персональных данных информации о процессах их обработки, необходимо строго поставить и решить задачу о выборе адекватной схемы хранения самих персональных данных и информации об операциях с ними. Поскольку информация, которая должна быть выдана субъекту, содержит как непосредственно персональные данные о нем, так и метаданные, связанные с процедурой их обработки, необходимо вести оперативный учет и обладать возможностями получения подобной дополнительной информации по требованию. Механизмов и программных средств, обладающих должным оценочным уровнем доверия и позволяющих реализовать такие функции, в составе автоматизированных систем, представленных на ИТ-рынке, сегодня не существует. Разработка таких систем в развитие положений Постановления Правительства РФ № 781 – важная задача.

Отметим, что требования по организации перманентного контроля за обеспечением надлежащего уровня защищенности персональных данных, изложенные в Постановлении, указывают на необходимость проведения исследований, разработки механизмов и создания комплекса средств для проведения аудита информационных систем персональных данных на предмет оценки уровня их защищенности как в целом, так и обрабатываемых с их помощью персональных данных в частности. В состав подобного комплекса целесообразно включать инструментальные средства для проведения такого исследования экспертом-аудитором и автоматизированные системы активного аудита, позволяющие в режиме реального времени производить оценку состояния защищенности подконтрольных информационных систем и принимать решения по противодействию деструктивным воздействиям, если такие обнаруживаются. Принимая во внимание относительно высокий оценочный уровень доверия, которым должны обладать системы для обработки персональных данных, выбор соответствующих средств вычислительной техники и архитектурно-технологических решений обязан быть предметом отдельного исследования с привлечением критериальных подходов к оценке безопасности.

Предложения по реализации

В рамках работ по созданию теоретических и методических основ обеспечения безопасности персональных данных, а также последующей реализации поддерживающих такие данные специализированных информационных систем представляется целесообразным провести ряд мероприятий.

Разработать проект типовой информационной системы, включающий описание ее архитектуры и набора моделей, адекватно отражающих: схему хранения персональных данных; модель логического разграничения доступа, позволяющую учитывать персональные данные как отдельный класс объектов доступа; процедуры, гарантирующие выполнение требований, указанных в законе, а также формальные модели, строго подтверждающие их выполнение; модель организации эффективного доступа к персональным данным для выполнения санкционированных действий с ними; модель предоставления гарантий на потоки персональных данных; архитектуру средств обеспечения безопасности в составе информационной системы персональных данных.

На основе разработанной и формально проверенной теоретической модели произвести выбор программных средств, их последующую модификацию и интеграцию в информационную систему персональных данных. В числе таких средств должны присутствовать следующие программные компоненты: механизмы логического разграничения доступа и их настройки; средства, гарантирующие выполнение заданных процессов обработки персональных данных с установленными для таких процессов требованиями; дополнительные средства защиты, в том числе средства контентной фильтрации, реализующие функциональные возможности по предотвращению утечек персональных данных через каналы их передачи, контроль над которыми не может быть обеспечен с использованием традиционных механизмов разграничения доступа; средства активного мониторинга состояния работоспособности элементов информационной системы персональных данных, позволяющие своевременно обнаруживать сбойные ситуации и оперативно реагировать на них.

Коллекции персональных данных, как информационные активы повышенных категорий защищенности (уровней доверия), представляют собой национально значимые объекты. Они так же, как, например, потенциально опасные и критически важные объекты, требуют особого внимания со стороны государства. Поиск ответов на представленные в статье вопросы является не только актуальной, но и национально значимой задачей. Без ее решения многие из положений ФЗ «О персональных данных» не смогут быть реализованы на практике.

Валерий Васенин, Кирилл Шапченко ({vasenin,shapchenko}@msu.ru) - сотрудники Института проблем информационной безопасности МГУ им. М. В. Ломоносова (Москва).

Несмотря на то что федеральные службы разработали ряд нормативных документов, регламентирующих работу с персональными данными, сам ФЗ-152 и ряд сопутствующих подзаконных актов вызвали неоднозначную реакцию у всех участников рынка информационной безопасности.

Что должны сделать ИТ-компании, чтобы соответствовать ФЗ №?152?

Когда вы делитесь с приложениями и сервисами определённой информацией, ваши устройства Apple начинают работать ещё лучше. Существует множество настроек, которые позволят вам выбирать, к каким данным открыть доступ, куда они будут отправляться и когда будет создаваться резервная копия. Важно знать, как настроены параметры в данный момент и как ими управлять.

Информация о данных и конфиден­циальности.

Мы создали новые информационные экраны «Данные и конфиденциальность», на которых вы можете легко разобраться, как именно Apple работает с вашими данными, ещё до того, как войдёте в свою учётную запись и начнёте пользоваться новыми функциями. Нажав значок «Данныеи конфиденциальность», вы увидите полезную информацию о том, какие данные могут быть отправлены и как они улучшат работу наших сервисов.

Проверьте настройки iCloud.

Вы можете управлять синхронизацией фотографий, сведений о здоровье, документов и других данных на ваших устройствах с учётной записью iCloud. Выбирайте, какие службы iCloud включить, а какие отключить. На устройствах iOS это можно сделать в настройках iCloud, а на Mac - в разделе iCloud в Системных настройках. Если вы пользуетесь PC с Windows, вам нужно будет открыть Панель управления iCloud.

Настройте доступ к своей геопозиции.

Иногда бывает полезно, чтобы устройство знало, где вы находитесь - например, когда вы планируете встречи в Календаре или пользуетесь навигацией. Службы геолокации определяют ваше местонахождение, используя данные GPS, Bluetooth, точек доступа Wi-Fi и вышек мобильной связи. Apple позволяет вам управлять тем, как собираются и используются эти данные. Вы должны включить службы геолокации самостоятельно - они всегда отключены по умолчанию. В любой момент от этого решения можно отказаться.

Функция SOS для экстренных вызовов.

С функцией SOS вы можете вызвать экстренные службы с помощью Apple Watch. Вы также можете настроить для выбранных вами людей автоматическое уведомление о ваших звонках в экстренные службы и показывать им ваше местонахождение в течение определённого промежутка времени. Эти уведомления можно отключить в любой момент. Даже если службы геолокации выключены, они включатся на некоторое время, чтобы выбранные вами «контакты SOS» узнали, где вас искать. Данные о вашем местонахождении также отправляются в местные экстренные службы, использующие сервис Rapid SOS. Все отправленные данные удаляются через 24 часа.

Контролируйте доступ приложений к вашим данным.

Приложения из App Store могут запрашивать доступ к данным о вашем местонахождении, контактам, календарям или фотографиям. Каждый раз, когда стороннее приложение впервые запрашивает какие-либо данные, вы видите диалоговое окно, поясняющее, какому приложению они нужны. Только вы можете предоставить доступ к своей информации. И если вы его разрешили, то в любой момент можете изменить это в Настройках.

Ваши действия на сайтах будут конфиденциальны.

Включите «Частный доступ», и Safari не будет добавлять посещаемые вами сайты в историю просмотра, запоминать ваши поисковые запросы и сохранять информацию из онлайн-форм, которые вы заполняете. Вы можете использовать средства блокировки контента, чтобы контролировать всё, что загружается в ваш браузер, и не позволять отслеживать вашу сетевую активность. Кроме того, поддержка средств блокировки контента устроена таким образом, чтобы их разработчики тоже не могли получать никаких данных о ваших поисковых запросах.

Safari также стал первым браузером со встроенной поддержкой анонимного поискового сервиса DuckDuckGo. Установите его в качестве поиска по умолчанию, и вы сможете пользоваться интернетом, не опасаясь, что ваши запросы кто-то отслеживает. Откройте настройки Safari на Mac, выберите «Поиск» и установите DuckDuckGo в качестве своей поисковой системы. На устройствах iOS коснитесь значка «Настройки», выберите Safari, затем «Поисковая машина» и DuckDuckGo.

Разработчики также получили возможность создавать для Safari загружаемые расширения, которые блокируют вредоносный контент, предназначенный для сбора адресов посещаемых вами сайтов.

Защитите персональные данные своих детей.

На устройствах Apple очень легко установить настройки родительского контроля и ограничения доступа. Вы сами решаете, какие веб-сайты может посещать ваш ребёнок, какие фильмы и телепередачи сможет смотреть, будет ли он пользоваться FaceTime и Камерой и скачивать приложения сторонних разработчиков. Родительский контроль и ограничения назначаются для конкретных устройств, поэтому мы рекомендуем установить их на всех устройствах Apple, которыми пользуются ваши дети. На Mac эти функции находятся в разделе «Родительский контроль» в Системных настройках. А на устройствах iOS нужно открыть «Настройки», затем коснуться строчки «Основные» и выбрать «Ограничения».

Вы также можете использовать функцию «Экранное время», чтобы лучше понимать и контролировать то, сколько времени ваши дети проводят в приложениях и на сайтах. Отчёты об активности включают подробные данные об использовании приложений, уведомлениях и входах в систему. Эти данные доступны только вам и недоступны Apple и третьим лицам. Вы также можете ограничить время, которое ваши дети ежедневно проводят в определённых приложениях и на сайтах.

С функцией «Семейный доступ» у ваших детей могут быть свои собственные Apple ID. А разработанная нами функция «Запрос на покупку» позволяет родителям одобрять покупки приложений и внутри приложений - то есть контролировать покупки, совершаемые через Apple ID их детей. Для настройки Apple ID ребёнка требуется согласие родителя или опекуна. Таким образом, взрослые получают возможность отслеживать действия детей и контент, который они скачивают.

-> Дополнительно

Под условиями использования в панели следует понимать набор документов, регламентирующий использование провайдером персональных данных клиентов. Полный набор существующих условий отображается на странице → "Условия использования" .

При обновлении панели до версии 5.153 произойдёт автоматическая конвертация имеющихся ссылок из раздела "Настройки" → "Настройки бренда" → "Авторское право" на политику конфиденциальности и условия использования в документы раздела "Условия использования" . В разделе будет создано два обязательных условия (документа): "User agreement" и "Privacy policy" . Ссылки на документы не изменятся. Если в настройках бренда ссылки на политику конфиденциальности и условия использования не были указаны, то при обновлении конвертация не выполняется.

Условия могут быть двух типов:

• политика конфиденциальности;
• пользовательское соглашение;

Условия на стороне администратора

Параметры условия

Настройка условия выполняется на странице "Управление персональными данными" → "Условия использования" → выделить условие → кнопка "Изменить" :

Редактирование документа

Тип условия - тип условия использования. Может принимать значения:

• Политика конфиденциальности - согласие клиента с условием такого типа означает, что он принимает политику конфиденциальности провайдера;
• Пользовательское соглашение - согласие клиента с условием такого типа означает, что он принимает условия пользовательского соглашения провайдера.

Название документа - локализованное наименование условия (документа). Отображается в полном списке существующих условий использования.

Описание условия - локализованное описание условия. Отображается на выбранных формах: опции "Отображать на форме регистрации" и "Отображать после авторизации".

Дата вступления в силу - дата вступления документа в силу. Условие не будет доступно клиентам, пока документ не вступил в силу.

Локализация - локализации, на которых доступен данный документ.

Обязательное согласие - флаг для принятия условия появится на форме после авторизации. Без согласия с таким условием невозможно продолжить работу в панели.

Отображать после авторизации - флаг будет отображаться для зарегистрированных пользователей при первой авторизации после внесения изменений в настройки конфиденциальности провайдера. Становится активным и блокируется для изменения, если активен флаг "Обязательное согласие".

Отображать в предупреждениях - флаг для отображения ссылок на документы над полями, где происходит указание персональной информации.

Журнал

Действия, совершённые пользователем и относящиеся к условиям использования персональных данных, логируются и отображаются в разделе "Управление персональными данными" → "Журнал" :

Каждая запись в журнале содержит:

• тип действия (согласие или отказ);
• имя пользователя;
• IP-адрес, с которого выполнялось действие;
• дату и время действия.

Условия на стороне пользователя

Форма после авторизации

Все активные условия с включённой опцией "Отображать после авторизации" будут отображаться пользователя при первой авторизации после внесения изменений в настройки конфиденциальности.

Информация о сборе и обработке данных

В разделе "Настройки" → "Настройки пользователя" пользователь может ознакомиться с документами о сборе и обработке персональных данных, с журналом согласий и отказов, а также запросить информацию об используемых персональных данных. Также пользователь может создать запрос на экспорт данных в CSV файл, удаление и ограничение использования персональных данных:

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

Координационный центр доменов.ru/.рф совместно с «Фондом развития интернет» и Федеральным институтом развития образования выпустили второе издание учебно-методического пособия «Практическая психология безопасности: управление персональными данными в Интернете».

Пособие посвящено повышению цифровой компетентности школьников и учителей в сфере управления персональными данными в Интернете. В нем проанализированы теоретические и методические аспекты проблемы защиты частной жизни и персональных данных в сети.

Пособие предназначено в первую очередь для учителей средних школ, но оно будет полезно и интересно и для других работников системы образования, полагают авторы издания.

Пособие состоит из десяти уроков, которые рассказывают, что такое персональные данные, как они попадают в Сеть, почему ими нужно управлять и как их можно защитить. Раскрываются вопросы приватности и личных границ, управления репутацией в Интернете, объясняются способы удаления ПД. Для каждого урока предусмотрено выполнение упражнений, предложены темы для обсуждения, методика оценки результата, прилагаются необходимые дополнительные материалы.

Как отмечается в предисловии к пособию, «по данным ряда опросов, больше половины россиян не знают о своих правах в Интернете. И в целом по стране индекс цифровой грамотности в области безопасного использования информационных технологий остается довольно низким - 4,86 (из 10 возможных)».

«Цель нашего пособия - донести до российских учителей и их учеников необходимость защиты личной информации и доступно объяснить правила безопасного управления личной информацией в Интернете», - сообщил директор КЦ Андрей Воробьев.

В подготовке пособия активное участие приняла Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), отмечают в КЦ.

«В наше время личная информация о детях появляется в Сети разными путями: ее выкладывают сами юные пользователи, их родители и друзья. Но это всего лишь полбеды: как показывает практика, значительная часть информации о несовершеннолетних пользователях оказывается результатом неправильного обращения с персональными данными в образовательных учреждениях», - отметила в предисловии к изданию заместитель руководителя Роскомнадзора и один из авторов пособия Антонина Приезжева.

Основными источниками угроз в киберпространстве являются хищение персональных данных при помощи фишинга, использования пользователями «серых» мобильных приложений и незащищенных каналов коммуникаций, сообщила заместитель руководителя Роскомнадзора Антонина Приезжева на открытии Международного форума по кибербезопасности (Cyber Security Forum-2017).

Открытые источники хранения персональных данных, геолокационные сервисы также могут представлять собой угрозу для утечек личных данных, а повсеместная практика принятия условий пользовательского соглашения «по умолчанию» лишь облегчает задачу злоумышленникам,

По мнению Приезжевой, большинство из рассматриваемых угроз возможно нивелировать путём повышения уровня информированности о правах и обязанностях всех участников процесса обработки персональных данных, уделяя особое внимание субъектам персональных данных.

Для достижения вышеуказанных целей Роскомнадзором определены приоритетные задачи: стимулирование добросовестного поведения в Сети и совершенствование механизмов регулирования области персональных данных, в т.ч. применение механизмов саморегулирования.

Для выявления, пресечения и предотвращения негативных последствий этих угроз необходимо внедрение комплексного системного подхода, который был разработан и презентован Роскомнадзором как «Стратегия информационно-публичной деятельности Уполномоченного органа на период до 2020 года».

Показатели эффективности Стратегии:

• повышение правовой грамотности населения Российской Федерации: ежегодное увеличение на 0,2-0,5% показателя числа респондентов, подтвердивших знание своих прав и законных интересов как субъектов персональных данных в ходе соответствующих социологических исследований;
• снижение с 70 до 40% показателя общего числа нарушений в области персональных данных;
• пропаганда образа жизни, направленного на бережное отношение к личным данным среди несовершеннолетних, в том числе, посредством создания молодежного медийного пространства: увеличение с 0,1 до 1% доли несовершеннолетних, вовлеченных в мероприятия реализации стратегии;
• повышение качества образовательного аспекта в области ПД путем развития неформального и самостоятельного образования: повышение с 2% до 15% доли операторов, воспользовавшихся ресурсами неформального образования;
• развитие международного взаимодействия и сотрудничества;
• ежегодное снижение на 2% доли выявленных инцидентов в области персональных данных по сравнению с предшествующим периодом.

Скачать учебно-методическое пособие «Практическая психология безопасности: управление персональными данными в Интернете» можно по нижеследующей ссылке (.zip, ~ 4.5 Мб):

См. также .

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.