Персональной и конфиденциальной информации дает. Положение о конфиденциальности персональных данных

Конфиденциальность персональной информации

Положение о конфиденциальности персональных данных

ИНТЕРНЕТ САЙТА сайт

1. Общие положения

1.1 Настоящая Политика обработки персональных данных (далее - Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает общество с ограниченной ответственностью «ИнфоХит» (ИНН 6617023200, ОГРНИП 1136617001366) (далее - Оператор).

1.2 Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»).

1.3 Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом, размещенным на интернет-сайте Оператора – (далее - Сайт).

1.4 Оператор ведет свою деятельность по адресу: 624441, Свердловская обл., г. Краснотурьинск,ул. Пушкина, д. 4, офис 309.

1.5 Ответственным за организацию обработки персональных данных назначен Нигматулин Ринат Мансурович.

1.6 Контактные данные оператора:

1.7 Настоящая Политика действует в отношении всей информации, размещенной на Сайте Оператора, информации о Пользователе, а также в отношении персональных данных работников Оператора, его контрагентов и иных субъектов персональных данных, информация о которых обрабатывается Оператором.

1.8 Использование Сайта любым способом (чтение материалов, использование сервисов и иное) означает безоговорочное согласие Пользователя с Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями, Пользователь должен воздержаться от использования Сайта и ни в коем случае не предоставлять Оператору свои персональные данные.

2. Используемые термины и определения

2.1 персональные данные - любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2.2 оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4 предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.5 уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.6 блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.7. пользователь – любое физическое лицо, которое находится на Сайте и использует Сайт любым образом, в том числе читает материалы, использует сервисы, либо иным образом вступающее в отношения с Оператором (направление писем по электронной почте и т.д.). Пользователь является субъектом персональных данных.

3. Цели обработки персональных данных

3.1 Оператор осуществляет обработку персональных данных для следующих целей:

3.1.1 для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

3.1.2 для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3.1.3 для функционирования Сайта;

3.1.4 для ведения статистики посещения Сайта, поддержания работоспособности и улучшения сервисов и разделов Сайта, а также разработки новых сервисов и разделов Сайта;

3.1.5 для получения Пользователем персонализированной (таргетированной) рекламы;

3.1.7 для обработки и отправки Заказов Пользователя по электронной почте или доставкой физической версии продуктов на адрес Пользователя и для выполнения своих обязательств перед Пользователем;

3.1.8 для информирования клиента об акциях, скидках и специальных предложениях посредством электронных рассылок;

3.1.9 для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

4. Правовое основание обработки персональных данных

4.1 Правовым основанием обработки персональных данных является:

4.1.1 Законодательство Российской Федерации в области персональных данных основанное на Конституции Российской Федерации и международных договорах Российской Федерации и состоящем из ФЗ «О персональных данных» и других определяющих случаи и особенности обработки персональных данных федеральных законов;

4.1.2 Настоящая Политика.

4.1.3 Пользовательское соглашение, расположенное по адресу: .

5. Категории субъектов персональных данных и состав персональных данных

5.1.1 физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;

5.1.2 физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;

5.1.3 субъекты персональных данных, использующие Сайт любым способом.

5.2 По всем категориям субъектов персональных данных, персональные данные обрабатываются Оператором в рамках правоотношений с Оператором, урегулированных Гражданским Кодексом Российской Федерации и Трудовым Кодексом Российской Федерации

5.3 По всем категориям субъектов персональных данных, персональные данные обрабатываются Оператором, с согласия субъектов персональных данных, предоставляемого, либо в письменной форме, либо при совершении конклюдентных действий на Сайте.

5.4 Оператор обрабатывает следующие персональные данные субъектов персональных данных:

Фамилия, имя, отчество;

Номер контактного телефона;

Адрес электронной почты;

Страна проживания;

Город проживания;

Улица, дом проживания

Фотография;

Информация о наличии у Пользователя аккаунта (страницы) в социальных сетях, таких как Вконтакте, Facebook, Instagram и другие;

Информация о наличии у Пользователя аккаунта (страницы) в интернет-мессенжерах, таких как Whatsapp и Viber и другие;

Данные, автоматически передающиеся Оператору в процессе посещения и использования Сайта Оператора с помощью установленного на устройстве Пользователя программного обеспечения, в том числе: IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сайту), время доступа, адрес запрашиваемой страницы и иные.

5.5 Оператором могут обрабатываться иные персональные данные, непосредственно необходимые для выполнения целей обработки персональных данных.

6. Сроки обработки и хранения персональных данных

6.1 Оператор обрабатывает и хранит персональные данные до достижения оператором целей обработки персональных данных или до утраты необходимости в достижении этих целей.

6.2. Пользователь предоставляет Оператору право обработки, хранения и иных действий с его персональными данными, в том числе и после расторжения договора, заключенного с Оператором до момента отзыва Пользователем своего согласия. Такое заявление Пользователя должно быть направлено через нотариуса или по почте заказным письмом с уведомлением о вручении либо путем вручения заявления под расписку.

7. Информация об обработке персональных данных

7.1 Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

7.2 Оператор в своей деятельности исходит из того, что Пользователь предоставляет свои персональные данные лично и по своей воле, во время взаимодействия с Оператором предоставляет точную и достоверную информацию, извещает Оператора об изменении своих персональных данных, либо самостоятельно контролирует их актуальность.

7.3 Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

7.4 Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

7.5 Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

7.6 Пользователь дает свое согласие, что его персональные данные будут включены в общедоступный источник персональных данных.

7.7 Обработка Оператором персональных данных Пользователя осуществляется в целях, установленных в Политике, и сама по себе не может повлечь каких-либо негативных последствий для Пользователя. При этом Оператор не несет ответственности за использование персональных данных Пользователя (как правомерное, так и неправомерное), размещенных в общедоступных разделах Сайта, третьими лицами и возможный причиненный в результате таких действий вред.

8. Сведения об обеспечении безопасности персональных данных

8.1 Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

8.2 Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

8.2.1 обеспечивает неограниченный доступ к Политике, копия которого размещена на Сайте Оператора по адресу - ;

8.2.2 во исполнение Политики разрабатывает локальные акты;

8.2.3 производит ознакомление своих работников с положениями законодательства о персональных данных, а также с Политикой и иными локальными актами, которые принимаются для ее исполнения;

8.2.4 осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

8.2.5 устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;

8.2.6 производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным федеральным законом;

8.2.7 производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;

8.2.8 применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

8.2.9 осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.2.10 производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

8.2.11 осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных», принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, Политике и иным локальным актам, включающим контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.

9. Права субъектов персональных данных

9.1 Субъект персональных данных имеет право:

9.1.1 на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

9.1.2 на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

9.1.3 на отзыв данного им согласия на обработку персональных данных;

9.1.4 на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

9.1.5 на обжалование действий или бездействий Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9.2 Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя, в том числе по электронной почте.

9.3 Запрос должен содержать сведения, указанные в ч. 3, 7 ст. 14 ФЗ «О персональных данных» и должен быть направлен по адресу, указанному в пункте 1.4 Политики, либо по адресу электронной почты, указанному в п.1.6. Политики.

10. Заключительные положения

10.1. Оператор вправе вносить изменения в настоящую Политику без согласия Пользователя.

10.2. Новая редакция Политики вступает в силу с момента ее опубликования на Сайте, если иное не предусмотрено новой редакцией Положения.

10.3. Все предложения или вопросы по настоящей Политике следует направлять по адресу электронной почты, указанному в п.1.6. Положения.

10.4. Действующая редакция Политики размещена на странице Сайта по адресу: .

Дата публикации 22.05.2017 г.

Администрация Интернет Сайта: ООО «ИнфоХит»

ИНН: 6617023200

Адрес: 624441, Свердловская обл., г. Краснотурьинск,ул. Пушкина, д. 4, офис 309.

Информация – важнейший производственный фактор. Предприятия, которые ведут активную работу по накоплению и анализу данных, в современной экономической среде чувствуют себя гораздо увереннее. Благодаря анализу своей аудитории компания может повысить сумму среднего чека за счет бонусов, за которые готовы платить потребители.

Вы узнаете:

  • Что такое конфиденциальность персональных данных.
  • Какие ошибки сбора, хранения и конфиденциальности персональных данных наиболее часто допускаются в бизнесе.
  • Как обеспечить безопасность хранения и конфиденциальности данных.
  • Что такое политика конфиденциальности сайта и как ее составить.
  • Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года.

Сегодня информация является неотъемлемой составляющей эффективной работы предприятия. Однако следует также помнить, что крайне необходимо соблюдать конфиденциальность персональных данных.

Срочно проверьте своих партнеров!

Вы знаете, что налоговики при проверке могут цепляться к любому подозрительному факту о контрагенте ? Поэтому очень важно проверять тех, с кем Вы работаете. Сегодня, Вы можете бесплатно получить информацию о прошедших проверках Вашего партнера, а главное получить перечень выявленных нарушений!

Обработка, хранение и конфиденциальность персональных данных клиентов

Итак, в современных экономических условиях очень важна конфиденциальность персональных данных. Закон, регламентирующий отношения в рамках получения и обработки ПДн, – ФЗ «О персональных данных» №152 от 27.07.2006 г. В нем указана следующая информация:

  • ключевые термины, касающиеся обработки ПДн;
  • в соответствии с какими принципами и условиями должны обрабатываться персональные сведения;
  • какими обязанностями наделен оператор ПДн;
  • какими правами наделен субъект ПДн;
  • какие типы ответственности предусмотрены за нарушение требований №152-ФЗ;
  • какие госорганы контролируют соблюдение требований закона.

Персональные данные – это любые сведения, которые прямо или косвенно относятся к физическому лицу, которое называют субъектом персональных данных.

Оператор – это госорган, орган местного самоуправления, юридическое или физическое лицо, которое в отдельном порядке или вместе с иными лицами организует и (или) проводит обработку персональной информации, определяет, зачем это нужно, из чего должны состоять персональные данные, а также устанавливает, какие действия (операции) по отношению к ПДн необходимы.

Обработкой ПДн называют любую операцию или совокупность операций, которые совершают в отношении персональной информации с применением автоматизированных средств или без них. Если обрабатывают данные, значит, их собирают, записывают, систематизируют, копят, хранят, уточняют (обновляют, изменяют), извлекают, используют, передают (распространяют, предоставляют доступ), обезличивают, блокируют, удаляют, уничтожают.

Что такое конфиденциальность персональных данных, закон четко разъясняет. Однако он не уточняет, какая именно информация является персональной. Но, если отталкиваться непосредственно от названия «персональных данных», то это любые сведения, относящиеся к физическому лицу:

  • дата рождения;
  • адрес;
  • телефон;
  • e-mail;
  • фотография;
  • ссылка на персональный сайт;
  • ссылка на аккаунт в соцсетях.

Словом, это любая информация, по которой можно точно определить гражданина. Если вам предоставляют персональные сведения, вы становитесь оператором ПДн.

Субъект ПДн – это физическое лицо, которое можно определить на основе персональной информации. То есть, это человек, сведения о котором должны находиться под защитой.

Какими правами №152-ФЗ наделяет субъекта персональных данных

  1. Право на доступ к своим ПДн. Субъект вправе получать сведения об операторе, узнавать, с какой именно информацией он работает; наделен правом прямого доступа к этой информации.
  2. Право субъекта при обработке ПДн. Обработку ПДн, необходимую для того, чтобы продвигать на рынке товары, услуги, работы, а также в политических целях, можно проводить только с разрешения субъекта. Она недействительна, если субъект не давал на нее разрешения, только если оператор не доказал обратное. Если субъект требует завершить обработку ПДн, то оператор обязан сразу же выполнить это требование.
  3. Права субъекта при вынесении решений на основании исключительно автоматизированной обработки его персональной информации. По закону РФ, недопустимо принимать решения относительно субъекта ПДн лишь на основании автоматизированной обработки, если нет его письменного согласия или же в ситуациях, описанных в федеральных законах.
  4. Право субъекта обжаловать действия или бездействие оператора. Если, по мнению носителя персональных данных, оператор некачественно обрабатывает ПДн, чем нарушает его свободы и права, то гражданин всегда может обратиться в инстанцию, специализирующуюся на защите прав субъектов ПДн, или в судебный орган.

Субъект имеет право требовать возместить ему финансовые потери и компенсировать моральный ущерб через суд. Оператор персональных данных должен сообщать в Роскомнадзор об обработке и защищать эту информацию.

В законе также определено, когда оператор может не сообщать в службу об обработке ПДн:

  • если оператор и носитель персональных данных состоят в трудовых отношениях;
  • если оператор и субъект ранее заключили между собой договор, и ПДн требуются для исполнения обязательств по нему;
  • если ПДн относятся к членам религиозных и общественных организаций, и обработка ведется в соответствии с учредительной документацией и законодательством РФ;
  • если ПДн находятся в общем доступе;
  • если ПДн состоят только из ФИО;
  • если ПДн необходимы, чтобы получить однократный пропуск на территорию или для решения подобных задач;
  • если ПДн являются частью федеральных автоматизированных информационных систем и государственных информационных систем персональных данных;
  • если ПДн обрабатываются без использования автоматизированных средств в соответствии с законодательством РФ.

Статья 7 (конфиденциальность персональных данных) №152-ФЗ гласит, что операторам и иным лицам, которым доступны персональные данные, запрещено распространять эту информацию посторонним людям, если субъекты не давали на это своего согласия, или же это не предусмотрено законодательством.

Но множество компаний неверно полагают, что, если они не обязаны сообщать уполномоченной инстанции об обработке, то и действия, которые по закону должны выполнять операторы ПДн, тоже не обязательны к исполнению. Но это мнение ошибочно. Если операторы нарушают законодательные требования, касающиеся обработки, это расценивается как неисполнение законодательных норм. За подобные действия предусмотрено наказание.

Конфиденциальность персональных данных – это обязательное требование, которое должен соблюдать как оператор, так и любой другой человек, получивший доступ к ПДн. Конфиденциальность не обеспечивается лишь в том в случае, если:

  • персональная информация обезличена;
  • персональная информация находится в общем доступе.

Персональные данные перестают считаются конфиденциальными, если они обезличиваются, или же если с момента начала их хранения проходит 75 лет, если об ином не сказано в законодательстве РФ.

На основании №152-ФЗ, оператор персональных данных должен:

  1. Обеспечивать безопасную обработку ПДн, то есть проводить необходимые мероприятия организационного и технического характера, направленные на конфиденциальность персональных данных и их защиту от взлома, уничтожения, внесения изменений, блокирования, копирования, распространения и иных незаконных действий.
  2. Уведомлять уполномоченную инстанцию по защите прав носителей ПДн (Роскомнадзор) о том, что он намерен обработать персональную информацию. Роскомнадзор заносит в реестр операторов данные об операторе. Сведения в этом реестре общедоступны. Исключение составляет лишь информация о средствах обеспечения безопасности ПДн в ходе обработки.
  3. Получать у носителей ПДн разрешение в письменном виде на обработку информации. Делать это оператор обязан, когда получает персональные данные (в том числе, от третьих лиц). Лишь после наличия разрешения он может приступить к обработке. Исключение составляют случаи, когда оператор получил ПДн в порядке, предусмотренном ФЗ, или же эта информация общедоступна. Следует подчеркнуть, что носитель данных вправе запретить обработку сведений о себе.
  4. Предоставлять носителю ПДн по требованию всю имеющуюся о нем информацию, методах ее защиты, а также сообщать, с какой целью и в каких условиях будет проводиться обработка.

В обязанности оператора также входит уничтожение, блокировка соответствующих персональных данных, внесение в них изменений, которые предоставляет носитель ПДн или его законный представитель в связи с тем, что информация неполная, неверная, неактуальна, получена противозаконным путем или не соответствует обозначенной цели обработки.

Также оператор должен доказать, что субъект не возражает против обработки его ПДн. Если же обрабатываются общедоступные персональные данные, оператор обязан предъявить доказательства в пользу того, что информация открыта для всех.

  1. Предоставлять уполномоченной инстанции по защите прав субъектов персональных данных по запросу сведения, необходимые для ее деятельности. В России работу операторов ПДн контролируют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности.

В законе также указано, когда разрешение носителя ПДн не требуется. Это ситуации, когда:

  • данные обрабатываются в соответствии с иными ФЗ;
  • между оператором и субъектом ПДн заключен договор, положения которого предполагают обработку информации об этом субъекте;
  • необходимо обработать ПДн, чтобы защитить жизнь, здоровье и иные жизненно важные интересы субъекта, но получить его согласие не представляется возможным, к примеру, из-за того, что физическое лицо госпитализировано;
  • необходимо обработать персональные данные, чтобы почтовые предприятия смогли доставить посылку;
  • данные нужно обработать журналисту в профессиональных целях, или же в целях научной, литературной или другой творческой деятельности. Но при этом интересы и права носителя ПДн должны быть соблюдены;
  • нужно обработать персональные данные для последующей публикации на основании ФЗ.

В иных ситуациях оператор обязан действовать в соответствии с нормами закона РФ по обработке информации и соблюдать конфиденциальность персональных данных. При нарушении законодательных норм в отношении оператора применяют уголовную, административную, гражданскую, дисциплинарную или иную ответственность.

Интересные факты про конфиденциальность персональных данных

  1. В российском законодательстве отсутствует четко определенный перечень.

В №152-ФЗ персональные данные трактуются как любые сведения, относящиеся к определенному или определяемому на их основании физическому лицу (субъекту ПДн). Данное определение малоинформативно.

  1. Различают три вида персональных данных.
  • Общие ПДн – это ФИО, адрес, номер телефона физического лица.
  • Специальные ПДн – это информация о расе, национальности субъекта, его политической позиции, философской и религиозной точки зрения, здоровье и половой жизни.
  • Биометрические ПДн – это физиологические особенности, анатомические характеристики, отпечатки ладоней, пальцев, сетчатка глаз, анализ ДНК и т. п.
  1. Судебная практика по персональным данным.

В соответствии с имеющейся сегодня судебной практикой, к персональным данным относят:

  • ФИО физического лица, дату рождения (день, месяц, год), адрес. Речь в данном случае также идет о семейном, социальном, имущественном положении, образовании, профессии, доходах (Постановление по делу № А15-2016/2009 от 05.10.2010 г. Президиум ВАС РФ, Постановление по делу № А36-5713/2014 от 29.04.2015 г. 19-й ААС).
  • Паспортные данные (см., например, Апелляционное определение Мосгорсуда от 22.05.2014 г. № 33-14709).

Некоторые суды придерживаются мнения, что по серии и номеру паспорта можно идентифицировать бланк документа, но не физическое лицо. Соответственно, это не ПДн (более подробно с этой информацией вы можете ознакомиться из определения Мосгорсуда от 29.02.2012 г. № 33-6709; Постановления Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010).

Однако сложно признать эту позицию верной и обоснованной, поскольку по номеру и серии паспорта можно легко определить физическое лицо.

  • E-mail (это подтверждает, к примеру, Решение по делу № 12-253/2015 от 26.05.2015 г. Калининский районный суд (г. Санкт-Петербург).

Роскомнадзор неоднозначно подходит к вопросу, связанному с отнесением e-mail к персональным данным. На эту тему существуют разъяснения этой службы, где указано, что если в e-mail содержится ФИО, то его можно отнести к персональным данным. Если же адрес электронной почты состоит из набора букв и знаков, то это неправомерно.

  • Данные техпаспорта на дом (см., например, Определение Приморского краевого суда от 28.04.2014 г. № 33-3718).
  • Адреса мест проживания индивидуальных предпринимателей, которые в себе содержит план проведения проверок юридических лиц и индивидуальных предпринимателей. План является общедоступным и должен находиться на официальном сайте администрации (см., к примеру, Апелляционное определение Волгоградского облсуда от 24.04.2014 г. № 33-4427/2014).
  • Информацию о пересечении госграницы (см., к примеру, Апелляционное определение Мосгорсуда от 10.04.2014 г. № 33-11688).
  • Адрес, по которому зарегистрировано должностное лицо, информация о его доходах, собственности, распространяемая в форме, не предусмотренной для официальной процедуры (к примеру, Определение Санкт-Петербургского городского суда от 31.03.2014 г. № 33-4198/14).
  • Сведения о работнике, прописанные в трудовом договоре (см., к примеру, Апелляционное определение ВС Республики Саха (Якутия) от 23.10.2013 г. № 33-4172/13).

При отнесении информации к персональной нужно также учитывать и следующие моменты:

  • Подтверждение и проверка того, что сведения относятся к определенному физическому лицу, не требуются (в законе о подобных мероприятиях ничего не сказано). В связи с этим оператор фактически не имеет представления о том, реальная это информация или вымышленная. Однако обрабатывать ПДн он в любом случае обязан.
  • К персональной относят лишь ту информацию, по которой возможна идентификация физического лица (см., к примеру, определение Санкт-Петербургского городского суда от 26 марта 2013 г. № 33-3815/13, Апелляционное определение Мосгорсуда от 28.01.2014 г. №33-5461/14).
  1. Более сложные категории ПДн.

Простыми персональными данными называют имя, фамилию и т. п. Однако есть и более сложные группы ПДн. К таковым относится IP-адрес, профиль в социальной сети и др.

По поводу данных групп ПДн даже у судов различные позиции.

  • Относительно IP-адреса в одном судебном решении есть неплохой правовой анализ, где говорится следующее: "Правовые последствия при идентификации юзера через установление его ПДн по статическому IP-адресу, который назначает оператор связи, постоянно закрепленному за конечным пользовательским оборудованием при заключении договора на предоставление услуг доступа к интернету (если используется статический IP-адрес, то идентификация всех подключений пользователя всегда ведется по этому IP-адресу в сети связи) должны быть аналогичны правовым последствиям в тех случаях, когда оператор связи назначает IP-адрес пользовательскому оборудованию в автоматическом порядке, на время его подключения (период сессии) к интернету (динамический IP-адрес)". (Решение по делу № 2-5354/2015 от 24.09.2015 г. Октябрьский районный суд г. Самары (Самарская область)).

Отметим, по мнению одних судов IP-адрес не относится к ПДн (см., например, Постановление по делу № А56-75017/2014 от 01.06.2015 г. 13-й ААС), а другие, напротив, считают, что относится (Решение по делу № А76-29008/2015 от 11.02.2016 г. АС Челябинской обл.).

Отнесение статичного IP-адреса к персональным данным достаточно логично, поскольку идентификация пользователя по нему очень проста. Однако у оператора может не быть сведений о том, какой IP-адрес является статичным. В подобных ситуациях следует считать все такие адреса персональной информацией. Соответственно, конфиденциальность персональных данных такого характера должна быть сохранена.

  • По поводу логина и пароля (от e-mail и социальной сети) разногласий меньше. По мнению Роскомнадзора, считать их ПДн неправомерно. Эту позицию он озвучивал много раз.

Некачественное обеспечение конфиденциальности персональных данных и другие ошибки, за которые штрафуют бизнес

Ошибка 1. Наличие формы обратной связи без политики конфиденциальности.

Сотрудники Роскомнадзора выяснили, что предприятие ТГЮК разместило на своем сайте форму обратной связи. Но документа о политике конфиденциальности, касающегося обработки персональной информации, на сайте не было. В итоге, на основании ст. 13.11 КоАП РФ, фирме выписали штраф, после чего она подала исковое заявление в суд.

Позиция компании заключалась в следующем: идентификация физического лица была невозможной, так как форма обратной связи состояла лишь из 3 элементов: имени, темы и текста сообщения. Соответственно, конфиденциальность персональных данных была соблюдена. При этом графу «имя» пользователи не обязаны были заполнять. Но судебный орган не принял эти аргументы во внимание и все же наложил на ТГЮК штраф (постановление Тамбовского областного суда от 04.10.2016 г. по делу №4А-288).

Как избежать штрафа: Если компания размещает на сайте подобную форму, то это считается сбором данных о физических лицах. Соответственно, фирма обязана действовать так, как оператор ПДн – сообщать в Роскомнадзор, что она намерена заняться сбором и обработкой персональной информации, получить разрешение носителя данных, выработать политику конфиденциальности и позаботиться о неограниченном доступе к ней. Если вы вырабатываете форму обратной связи, то в ней должна присутствовать функция получения согласия. То есть, перед тем как отправить анкету, пользователь обязан проставить галочку, подтвердив тем свое согласие на обработку персональных данных.

Ошибка 2. Передача личной информации третьим лицам.

Как осуществляется конфиденциальность персональных данных в договоре? Рассмотрим следующий пример. У гражданина образовался долг банковскому учреждению по кредиту. Банк заключил с коллекторским предприятием агентский договор «Морган энд Стаут». В соответствии с его условиями, банковская организация передала персональную информацию о должнике, и коллекторы начали звонить ему и его родственникам, обращаясь с требованием о погашении задолженности. Но при этом обрабатывать и передавать свои ПДн сторонним лицам гражданин не разрешал.

Заемщик потребовал прекращения противоправных действий и уничтожения всех персональных данных, но безрезультатно. Тогда он подал в суд иск с целью компенсации морального ущерба. Как отметил должник, у него требовали погасить долг в агрессивной форме, а потому он начал беспокоиться о здоровье, безопасности и жизни себя и своих родных.

Изучив все материалы дела, суд признал, что банк действовал незаконно, не обеспечил конфиденциальность персональных данных и постановил уничтожить всю персональную информацию о гражданине. Оба учреждения суд обязал компенсировать моральный вред (определение Ярославского областного суда от 05.03.2012 г. по делу №33-939/2012).

Как избежать штрафа: Передача персональных данных возможна исключительно с согласия физического лица, к которому они относятся. Исключения составляют случаи продажи предприятием долга на основании договора переуступки. В данном случае уже новый кредитор должен сообщать носителю ПДн о том, что личные сведения получены.

Ошибка 3. Обработка персональных данных без согласия.

Внеплановая проверка предприятия, проводимая сотрудниками Роскомнадзора, показала, что в листе кандидата на должность отсутствует поле для отметки о согласии на обработку ПДн. Генеральному директору вынесли предупреждение, с которым он не согласился и обратился в суд для обжалования. По словам руководителя, в компании сформировали комиссию, в обязанности которой вошла обработка данных. Он отметил, что при заполнении своих карточек сотрудники присутствуют лично. Помимо этого, в трудовом договоре указано, что работник согласен на обработку. Но эти аргументы, по мнению суда, явились недостаточными для отмены решения, а потому административное наказание все же было применено (постановление Самарского облсуда от 22.08.2016 г. №4а-907/2016).

Как избежать штрафа: Каждая типовая форма документации, предполагающая включение ПДн, должна содержать в себе поле для согласия на обработку. Вам следует провести аудит кадровой документации, чтобы удостовериться, что в бумагах проставлена соответствующая отметка.

Ошибка 4. Предприятие игнорирует отказы клиента получать рекламные сообщения.

Один из клиентов Сбербанка отменил свое согласие на обработку ПДн через «Почту России». Но прошел месяц, и гражданину на телефон пришло рекламное сообщение из банка с предложением оформить кредит. В ответ гражданин подал исковое заявление в суд о незаконной обработке ПДн. Он счел, что банк не обеспечил конфиденциальность персональных данных.

Позиция ответчика заключалась в том, что сообщение содержало в себе не рекламу, а индивидуальное предложение. Помимо этого, текст сообщения не включал в себя информацию, на основании которой была бы возможна идентификация физического лица. Соответственно, использования личных сведений не было, и конфиденциальность была соблюдена.

Но суд принял сторону истца – банковское учреждение знало его номер телефона и ФИО. В соответствии с решением суда, Сбербанк обязали компенсировать истцу моральный ущерб в размере 100 тыс. руб. (определение Новосибирского облсуда от 02.04.2015 г. по делу №33-2662/2015).

Как избежать штрафа: не следует игнорировать разного рода обращения физических лиц – субъектов ПДн. С 1 июля 2017 г. за это предусмотрен штраф в размере 40 тыс. руб. Физическое лицо имеет право отозвать согласие на обработку своих персональных данных, а также узнать, кто работает с его данными, с какой целью, какими способами, в какие сроки осуществляется обработка, какая именно информация о нем хранится. Назначьте работника, предоставляющего сведения по запросам физических лиц. Его контактная информация должна быть общедоступной.

Ошибка 5. Сбор сведений о физлицах без локализации.

Сотрудники Роскомнадзора в рамках анализа нарушений в интернете определили, что известная социальная сеть LinkedIn не выполняет требований по обеспечению записи, систематизации, накоплению, хранению и извлечению ПДн россиян, то есть, не соблюдает конфиденциальность персональных данных. Специалисты службы обязали компанию устранить нарушение, однако требование выполнено не было. Организация аргументировала свой отказ тем, что персональные данные граждан обрабатываются и хранятся за рубежом. Однако суд заметил, что если сайт имеет русскоязычную версию, он занимается сбором ПДн россиян, и, соответственно, обязан выполнять нормы действующего законодательства, в частности, обеспечивать конфиденциальность персональных данных. В итоге суд признал, что сайт ведет незаконную деятельность, к нему ограничили доступ, а саму организацию занесли в реестр нарушителей прав субъектов ПДн (определение Мосгорсуда от 10.11.2016 г. по делу №33-38783/2016).

Как избежать штрафа: В обязанности оператора при сборе персональной информации входит обеспечение локализации ПДн субъектов. Соответствующий закон действует с 1.09.2015 г. Проверьте информационные системы/базы данных, выявите их месторасположение и сформируйте список. Требование, связанное с локализацией ПДн, является обязательным и действует в отношении первичного сбора данных. Обрабатывать и хранить информацию можно за границей.

Рассказывает практик

Обработка персональных данных – дополнительная зона ответственности

Елена Денисова ,

руководитель коммерческой практики, CLIFF

По мнению многих предпринимателей, их деятельность напрямую не связана с обработкой ПДн, так как они просто собирают такую информацию, чтобы знать свою аудиторию. Также значительная часть бизнесменов полагает, что сайт в интернете – это не инструмент автоматизированной обработки, а потому они не собирают личную информацию о пользователях, соответственно, не должны обеспечивать конфиденциальность персональных данных. Но в соответствии с Законом, оператор ПДн – это любое лицо, как физическое, так и юридическое, организующее и осуществляющее обработку персональных сведений и определяющее цели их сбора.

Чтобы не столкнуться с проблемами хранения и применения ПДн и следовать законодательным требованиям, необходимо:

  1. Выявить, в каком порядке, объеме и в какое время вы получаете информацию о своих потребителях. Если сведений, по которым можно точно определить клиента, вы не получаете (а получаете лишь e-mail и при этом не предлагаете пройти регистрацию и оставить контактную информацию, то есть, не получаете никаких данных от клиента и работаете на конфиденциальных условиях), то вы не имеете дела с ПДн. Во всех иных ситуациях вам следует четко соблюдать законодательные требования, касающиеся обеспечения конфиденциальности персональных данных.
  2. Определить, как ваша компания будет получать от клиента согласие на обработку его персональной информации. Согласие субъекта необходимо, если вы планируете проводить торговые операции и вести любую деятельность по продвижению товаров, услуг, работ на рынке, используя прямой контакт клиента (посредством SMS-сообщений, телефонных звонков, e-mail и проч.). Отметим, при возникновении спорной ситуации оператор, то есть, ваше предприятие, обязан доказать факт получения от клиента согласия (в любой форме, не обязательно в письменном виде). В связи с этим следует выработать правила, в соответствии с которыми нужно собирать, обрабатывать, хранить и уничтожать ПДн, а также специальную форму согласия на проведение этих мероприятий (см. материал для скачивания). При этом клиент может не давать своего согласия, если данные обрабатываются с целью выполнения условий договора, участником которого он выступает, то есть, если сведения использует лишь ваша фирма, не передает ее посторонним лицам и только для того, чтобы оформить сделку купли-продажи с покупателем.
  3. Убедиться, что в будущем удастся доказать факт получения согласия от клиента. Мало просто разместить на сайте правила и форму согласия на обработку ПДн. В случае спора это не поможет вам избежать штрафов контролирующих инстанций. У вас должен быть подписанный клиентом документ, из которого будет ясно прослеживаться его согласие на использование ПДн. Также в нем должно быть упомянуто о видах и целях обработки персональной информации. Если вы не будете располагать таким документом, то вас могут привлечь к ответственности. Безусловно, в качестве доказательства может выступать бумажная анкета с подписью покупателя, однако для торговли в интернете этот вариант не подходит.

Роскомнадзор считает, что в качестве согласия на использование персональной информации на сайте может выступать файл электронной цифровой подписи. Помимо этого, предложения оператора о продаже товара в некоторых ситуациях могут быть рассмотрены в качестве публичной оферты. То есть, когда носитель ПДн соглашается на оферту в момент оформления заказа или регистрации, то одобряет использование своих персональных сведений, оставленных продавцу. Судебные органы считают, что компаниям лучше позаботиться о наличии на своем сайте веб-метки, которая означает, что клиент согласен с правилами и порядком обработки ПДн (постановление ФАС СЗО от 13.12.2010 г. по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу №33-2064).

Конфиденциальность и защита персональных данных: 4 инструмента

Конфиденциальность персональных данных может быть обеспечена исключительно в той информационной среде, в которой злоумышленники не могут вмешаться в работу ее основных элементов, таких как сетевые устройства, операционные системы, приложения и система управления базами данных (СУБД).

  1. Антивирусы.

Один из действенных методов борьбы с утечкой конфиденциальных данных – защита от вирусов. Нередко из-за влияния вирусов, червей и иных вредоносных программ происходит утрата информации по скрытым каналам. В современные антивирусы включена не только сигнатурная защита, но и более инновационные методы. Речь идет, в частности, о поведенческом анализе программ, экранах уровня приложений, контроле над целостностью критической для операционной системы информации и иных способах защиты, которые обеспечивают конфиденциальность персональных данных.

  1. Межсетевые экраны.

Необходимо обеспечить эффективную защиту не только всей корпоративной сети, но и каждому отдельному рабочему месту от массовых вирусных атак, а также от целенаправленных атак в сети. Здесь достаточной будет установка системы блокировки неиспользуемых сетевых протоколов и сервисов. Отметим, что именно эти функции и выполняет межсетевой экран. Нередко к его функциональности добавляют также средства организации виртуальных частных сетей – VPN.

  1. Системы предотвращения вторжений.

Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливают в разрыв сети. Такие сети предназначены для того, чтобы выявлять в проходящем трафике признаки нападения и блокировать обнаруженную наиболее популярную атаку. Это обеспечивает в конечном итоге конфиденциальность персональных данных.

IPS отличаются от шлюзовых антивирусов тем, что выполняют анализ не только содержимого IP-пакетов, но и применяемых протоколов и корректности их использования. IPS способны обеспечить защиту от большего числа атак, в отличие от шлюзовых антивирусов. Системы предотвращения вторжений выпускают фирмы, основная специализация которых – сетевая защита, например, Check Point и McAfee (продукт Network Security Platform), так и компании, производящие сетевое оборудование – Juniper и Cisco.

  1. Сканеры уязвимостей.

Общие средства защиты – это и сканеры уязвимости, проверяющие операционные системы и программное обеспечение на наличие разного рода «брешей». Обычно это самостоятельные программы или устройства, которые тестируют систему следующим образом: направляют специальные запросы, имитирующие атаку на протокол или приложение. Среди самых популярных продуктов в этой категории можно выделить MaxPatrol, группу продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Однако сейчас выпускают и пассивные сканеры, просто сканирующие трафик и выявляющие вероятные уязвимые места.

Вышеперечисленные инструменты – общие для всей сети и напрямую не относятся к защите персональных сведений. Но их наличие обговаривают в отдельном порядке, а потому этими основными средствами должен располагать каждый оператор персональных данных, причем даже для минимального уровня К4, где сам оператор может выбирать средства защиты.

В данный момент комплект инструментов для защиты от утечки персональной информации только формируется. Существует 3 категории таких продуктов:

  • Системы контроля периферийных устройств.

Зачастую утечки ПДн происходят через съемные информационные носители и несанкционированные каналы связи, среди которых флэш-память, USB-диски, Bluetooth или Wi-Fi, в связи с чем необходимо контролировать и периферийные устройства. Это позволяет избегать утечек и обеспечить конфиденциальность персональных данных. На рынке есть определенные инструменты, относящиеся к данной категории, к примеру, от производителей SmartLine и SecureIT.

  • Системы защиты от утечек (Data Leak Prevention, DLP).

Благодаря системам защиты от утечек можно при помощи особых алгоритмов вычленить из потока информации конфиденциальную и предотвратить ее несанкционированную передачу, поставив блок. В DLP-системах существует ряд механизмов контроля различных каналов передачи данных – e-mail, мгновенных сообщений, web-почты, печати на принтере, сохранения на съемном диске и проч. При этом такие системы ставят блок на утечку только конфиденциальной информации, так как оснащены встроенными механизмами для определения степени секретности данных, благодаря чему достигается высокая конфиденциальность персональных данных.

  • Методы шифрования.

Методы шифрования применяются в процессе передачи персональной информации по сети в распределенной системе. Вы можете пользоваться продуктами класса VPN, основой которых обычно является шифрование. Но системы данного типа должны быть сертифицированными и тесно интегрированными с базами данных, в которых хранится персональная информация.

Благодаря инструментам, перечисленным выше, можно избежать утечек информации, в том числе персональной, то есть, обеспечить конфиденциальность персональных данных. При этом методы могут быть использованы и для того, чтобы защищать иную, критическую для организации, информацию. Но стоит учитывать, что для исполнения требований закона «О персональных данных» необходимо использовать сертифицированные средства защиты, одобренные ФСТЭК.

Политика о конфиденциальности персональных данных на сайте : пошаговая инструкция

Политика конфиденциальности – это тоже оферта (соглашение), но только касающаяся вопросов использования персональной информации пользователей. Если юзер принял (акцептовал) предложенные ему условия и правила, значит, дал согласие на обработку персональных данных.

То есть, пользователь может:

  • зарегистрироваться/авторизоваться;
  • проставить в полях соответствующие отметки;
  • выполнить действия в определенной последовательности;
  • использовать функционал сайта.

Все эти действия будут свидетельствовать о том, что пользователь принял правила обработки его ПДн.

Лучше применять описание не одной формы акцепта, а их совокупность, указывая, к примеру, что пользователь согласился с правилами Политики конфиденциальности, нажав соответствующую кнопку или проставив отметку в поле для Регистрации на любой стадии регистрации или в любой момент пользования интернет-ресурсом.

Универсальный шаблон Политики конфиденциальности пока не выработан. Когда вы ее разрабатываете, то так или иначе должны принимать во внимание особенности работы ресурса, его назначение, функциональные особенности, численность целевой аудитории, то, в каких объемах клиенты оставляют сведения о себе.

На основе анализа существующего законодательства в области обработки персональной информации появилась возможность сформулировать ряд рекомендаций для владельцев сайтов по содержанию Политики конфиденциальности:

Шаг 1. Если хотите, в Политику конфиденциальности можете включать главу с терминами и определениями. Однако это необязательно. Чтобы обеспечить удобство юзеров и унифицировать документацию на сайте, вы можете включить соответствующую главу с терминами и их расшифровкой – едиными как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «сайт», «владелец сайта», «пользователь», «личный кабинет» и проч.).

Если даже у вас на сайте отсутствует такой раздел в Политике конфиденциальности, вы, как владелец, никаких рисков из-за этого не несете.

Шаг 2. Выделите общие положения и опишите у них:

  • Предмет регулирования Политики.
  • Формы акцепта юзера с правилами Политики и обработкой ПДн.
  • Место разрешения спорных ситуаций, которые вытекают из Политики, с оговоркой (к примеру, вы можете указать, что все возможные споры по поводу Политики конфиденциальности и отношений между гражданином и владельцем интернет-ресурса будут разрешаться через суд по месту пребывания владельца сайта в соответствии с нормативами РФ, если об ином не сказано в федеральном законе). Оговорка требуется в целях соблюдения действующих норм законодательства. Если же в Политике указано, что споры должны разрешаться по месту пребывания Администрации сайта, пользователь заблаговременно будет знать об этом.
  • Порядок внесения изменений в Политику и обновления данного документа (к примеру, «Администрация сайта вправе менять и (или) вносить дополнения в Политику конфиденциальности, при этом специально не уведомляя пользователя об этом. Политика конфиденциальности в новой редакции вступает в силу с того момента, как размещается на странице сайта, если об ином не сказано в новой редакции Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу…»). Если пользователь никак не реагирует, это означает, что он согласен с изменениями и (или) дополнениями в Политике конфиденциальности.
  • Отсутствие доступа к информации, которую гражданин оставляет на сайтах третьих лиц. Это может быть связано с тем, что пользователь оплачивает услуги и предоставляет свои платежные данные.

Здесь следует четко прописать, к примеру, следующее: «пользователь признает и подтверждает, что любую информацию, включая, например, данные банковских карточек, напрямую или косвенно связанные с оплатой услуг или сервисов, он размещает на страницах сайтов третьих лиц, которые не имеют отношения к владельцу сайта; Администрации сайта такая информация недоступна, она не собирает, не систематизирует, не хранит, не уточняет, не обновляет и не изменяет, не использует, не распространяет (в том числе, не передает), не обезличивает, не блокирует, не уничтожает такие данные, не осуществляет трансграничную передачу – словом, не проводит в их отношении никаких операций.

Шаг 3. Вам следует зафиксировать тот факт, что вы предоставили согласие пользователю на использование его ПДн. Это крайне необходимо в любой политике конфиденциальности. Укажите, что когда пользователь соглашается на обработку своих данных, то руководствуется собственными интересами и делает это по собственной воле. Пользователь соглашается на обработку информации с того момента, как регистрируется на сайте и (или) совершает иные действия, связанные с пользованием сервисами или возможностями интернет-ресурса.

Шаг 4. Необходимо обозначить, с какой целью вы предоставляете согласие, например, чтобы:

  • заключать с Администрацией интернет-ресурса соглашения, договоры, которые напрямую предусматривает Политика, а также иные соглашения, размещенные на сайте, и их последующее исполнение;
  • участвовать в организуемых акциях, а также принимать решения и выполнять иные мероприятия с разного рода юридическими последствиями в отношении пользователя или иных лиц;
  • принимать и обрабатывать запросы;
  • информировать клиентов о состоянии запроса и услугах, к примеру, при помощи сообщений по e-mail или по SMS;
  • улучшать качество работы интернет-ресурса;
  • проводить статистические и иные исследования на основании обезличенной информации.

Вполне могут иметь место любые варианты, причем одновременно. Но основная в данном случае цель – первая в данном списке. То есть она заключается в использовании персональных данных, чтобы заключать соглашения, договоры с владельцем интернет-ресурса и исполнять их. Благодаря этому варианту можно будет объяснить отсутствие согласия на обработку персональной информации «на бумаге» в случае проблем с Роскомнадзором, и разъяснить, почему владелец не направил в данную инстанцию уведомления.

Шаг 5. Следует описать, из чего состоят персональные данные.

К персональной относится далеко не вся информация о пользователе. Персональные данные, как уже было отмечено, позволяют точно определить гражданина. К ним относятся, к примеру, ФИО, адрес места проживания, а также паспортные данные. Конфиденциальность персональных данных клиентов – обязательное к соблюдению условие для всех организаций.

В Политике конфиденциальности вы можете указать, что согласие пользователя распространяется на ФИО, адрес места проживания, телефонный номер и любые другие данные, относящиеся к личности человека, которыми сейчас располагает Администрация сайта.

Шаг 6. Обозначьте период, в течение которого действует согласие.

Вы можете указать, что согласие гражданина действует до тех пор, пока не истекут сроки хранения соответствующих сведений или документации, в которых содержится обозначенная выше информация. Эти сроки определяет законодательство РФ. По истечении указанного периода пользователь может отозвать свое согласие, направив соответствующее уведомление (в письменном виде) владельцу сайта. Сделать это он обязан не менее чем за 3 месяца до момента отзыва согласия.

Шаг 7. Зафиксируйте объем возможных действий по обработке.

Помните, что чем больше возможных действий с персональной информацией вы опишете, тем лучше. Вы можете указать, что согласие предоставляется на проведение любых операций без ограничений персональными данными, необходимыми или желаемыми для решения обозначенных выше задач. То есть, вы, как владелец сайта, получая персональные данные пользователя, с его согласия можете собирать, систематизировать, копить, хранить, уточнять (обновлять, изменять), использовать, распространять (в том числе, передавать), обезличивать, блокировать, уничтожать, осуществлять трансграничную передачу ПДн, а также выполнять иные процедуры с личной информацией гражданина в соответствии с действующими законодательными нормами РФ.

Шаг 8. Обозначьте методы обработки ПДн.

Укажите, как вы собираетесь использовать персональные данные пользователя – хранить, записывать на электронные носители с их последующим хранением, формировать перечни или как-то иначе.

Шаг 9. Обозначьте, что у вас есть право раскрытия персональных данных третьим лицам.

Зафиксируйте свое право, как владельца сайта, передавать данные третьим лицам, если необходимо достичь той или иной цели, обозначенной в Политике. Также вам следует обозначить, что пользователь не возражает против передачи его данных.

Шаг 10. Установите, в каком порядке будут отправляться юридически значимые сообщения.

Чтобы урегулировать поток обращений от пользователей, связанных с обработкой информации, необходимо усложнить процесс взаимодействия с Администрацией интернет-ресурса. Как? Например, определить письменную форму подобных обращений и способ их отправки – по e-mail или через курьера. В дополнительном порядке укажите, что если формат обращений не будет соблюден, обращения и уведомления пользователя останутся нерассмотренными.

Какие предусмотрены штрафы за нарушение конфиденциальности персональных данных с 2017 года

С 1.07.2017 г. в силу вступил ФЗ от 07.02.2017 г. № 13-ФЗ, вносящий поправки в ст. 13.11 Кодекса об административных правонарушениях. Так, на основании данного ФЗ предусмотрено расширение списка оснований, по которым на нарушителей могут наложить административное взыскание за незаконную обработку персональной информации и существенно повысить штрафы.

Основание

Размер штрафа

Физические лица

Должностные лица

Юридические лица

Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн

предупреждение или штраф - от 1000 до 3000 руб.

предупреждение или штраф - от 5000 до
10 000 руб.

предупреждение или штраф - от 30 000 до 50 000 руб.

Обработка ПДн без письменного согласия на то их субъекта

от 3000 до 5000 руб.

от 10 000 до 20 000 руб.

от 15 000 до 75 000 руб.

от 700 до 1500 руб.

от 3000 до 6000 руб.

от 15 000 до 30 000 руб.

от 5000 до 10 000 руб.

Непредоставление субъекту ПДн информации по их обработке

предупреждение или штраф - от 1000 до 2000 руб.

предупреждение или штраф - от 4000 до 6000 руб.

предупреждение или штраф - от 20 000 до 40 000 руб.

предупреждение или штраф - от 10 000 до 15 000 руб.

Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)

предупреждение или наложение штрафа в размере от 1000 до 2000 руб.

предупреждение или штраф - от 4000 до
10 000 руб.

предупреждение или штраф - от 25 000 до 45 000 руб.

предупреждение или штраф - от 10 000 до 20 000 руб.

Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования

от 700 до 2000 руб.

от 4000 до
10 000 руб.

от 25 000 до 50 000 руб.

от 10 000 до 20 000 руб.

Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн

предупреждение или наложение административного штрафа - от 3000 до 6000 руб.

Конфиденциальность персональных данных за рубежом

  • США.

В Штатах намеренно не принимают федеральный закон о защите ПДн, отдавая предпочтение законам, касающимся отдельных областей жизни. В 1988 г. видеопрокатам в США запретили публичное разглашение информации о том, какие видеокассеты берут клиенты. Такой запрет на прокаты наложили после утечки в СМИ списка видеокассет, арендованных кандидатом в судьи ВС РФ Робертом Броком. Отметим, в списке значились вполне приличные фильмы.

Очень важное значение в США имеет конфиденциальность персональных данных, передаваемых за границу. В Штатах в этом отношении действует то же правило, что и в Европе – принимающее государство должно защищать персональную информацию на должном уровне.

Непринятие общего закона о защите персональных данных в США связано со специфической экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Например, свободу слова в конституции гарантирует первая поправка. Что же касается права на неприкосновенность частной жизни, то она в ней прямо не прописана и лишь подразумевается. Однако все это не мешает отдельным штатам выдвигать инициативы. С 2014 г. в Калифорнии действует закон, обязывающий сайты оповещать пользователей, отслеживаются их действия или нет. С 2015 г. поведение несовершеннолетних граждан в США не отслеживают, как и в Европе.

  • Азия.

Сегодня в странах Азии действует закон о защите персональной информации в интернете. Исключение составляет лишь Китай и большая часть государств Ближнего Востока. В Индии закон о соблюдении конфиденциальности персональных данных не имеет силы за пределами страны. И, заметим, он не очень жесткий. Большую часть граждан Индии не волнует конфиденциальность персональных данных. Из информации на сайтах знакомств можно легко узнать, какую группу крови имеет тот или иной пользователь, кто ВИЧ-инфицирован. При этом правительство наделено обширными полномочиями доступа к персональной информации, а для поиска номера мобильного телефона нередко достаточно вбить имя гражданина в строку поиска.

Закон о защите персональных данных, в том числе, в интернете, приняли в 2005 году. Иностранные организации с офисом в Японии должны детально разъяснять, с какой целью они хранят ПДн, если эти сведения касаются хотя бы 5 тыс. клиентов и работников.

Отметим, японцы очень осторожно относятся к распространению своих персональных данных, даже если случаются природные катаклизмы – землетрясения или госпитализации человека. Конфиденциальность персональных данных крайне важна для них. При этом время от времени происходят крупные утечки информации и незаконные сделки по их продаже. В последние годы развитие интернета опережает закон. Нормы, выработанные лет десять назад, не учитывают существования облачных сервисов и социальных сетей.

В Сингапуре в 2013 г. приняли закон, подобный тому, что в данный момент рассматривает Совет Европы. Сегодня законодательство именно этого государства наиболее прогрессивно во всей Азии в отношении хранения ПДн.

  • Южная Америка.

В Южной Америке был громкий скандал с Эдвардом Сноуденом, отчасти приведшим к принятию закона Marco Civil da Internet. Значительное место в законе отведено вопросу защиты персональной информации. Жители Бразилии относятся к конфиденциальности ПДн практически так же, как в Европе, но с некоторыми нюансами.

Совместно с Германией Бразилия продвинула в ООН первую резолюцию о защите ПДн в сети. В резолюции было сказано о том, что право на конфиденциальность персональных данных должно быть обеспечено и в реальной жизни, и в интернете. Отметим, в Бразилии электронная переписка защищается в таком же порядке, что и обычная.

Что же касается остальной Южной Америки, там законопроекты о конфиденциальности персональных данных обычно рассматривают в течение нескольких месяцев, а то и лет.

Единственная страна, где требования о защите персональной информации в интернете выполняются в полном объеме? – это Аргентина.

Информация об экспертах

Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт - www.cliff.ru

Общество с ограниченной ответственностью «Аймрайт» признает важность конфиденциальности персональной информации своих клиентов. Как юридическая компания мы несем профессиональную обязанность по обеспечению режима конфиденциальности в отношении всей информации, получаемой в связи с оказанием услуг своим клиентам. Реализация данной обязанности регулируется Политикой конфиденциальности персональной информации (далее – «Политика конфиденциальности ») и законодательством Российской Федерации.

1.Общие принципы и дефиниции.

1.1 Политика конфиденциальности направлена на обеспечение неприкосновенности персональной информации лиц, обратившихся за юридическими услугами (далее – «Клиент » или «Клиенты ») к Обществу с ограниченной ответственностью «Аймрайт», ОГРН 1107847152962 (далее – «Компания »). Компания, все её сотрудники, привлеченные консультанты и адвокаты обязаны к обеспечению конфиденциальности персональной информации Клиентов Компании в соответствии с настоящей Политикой конфиденциальности, а также законодательством Российской Федерации. Компания обязуется не разглашать персональную информацию Клиентов, полученную в связи с оказанием юридических услуг, без письменного, устного или конклюдентного согласия последних. Обязанность по неразгалшению продолжает действовать и по завершении договорных отношений с Клиентом, в течение неопределенного периода времени. Режим конфиденциальности распространяется на бывших, нынешних и будущих Клиентов Компании, в том числе тех, кому было отказано в предоставлении услуг.

1.2 Персональная информация включает в себя информацию о Клиенте устно или письменно переданную Компании Клиентом или третьим лицом по поручению или без поручения Клиента, в связи с оказанием юридических услуг последнему. К персональной информации, среди прочего, относится следующая информация о Клиентах:

1.2.3. Имена и наименования, местожительства и местонахождение, контактная информация (включая адреса электронной почты, номера телефонов и факсов), реквизиты паспортов, включая семейное положение.

1.2.6. Факт визитов в офис Компании и обращения к услугам Компании.

1.3 Клиентом является любое лицо, которое обратилось к Компании за юридическими услугами в собственных интересах или в интересах третьего лица, независимо от того, каким образом оказывались услуги: по телефону, посредством факса, через электронную почту, лично или иным способом.

2.1 Компания обязуется не раскрывать персональную информацию своих Клиентов третьим лицам, включая информацию, которая сама по себе или в совокупности с общедоступной информацией может привести к идентификации Клиента. Данная обязанность также распространяется на лиц, которые вступили в контакт с Компанией, однако не обратились за оказанием услуг.

2.2. Компания обязуется не разглашать информацию о том, искал ли Клиент соответствующие юридические услуги, обращался ли за их получением, получает ли их в настоящее время.

2.3. Компания обязуется обеспечить неприкосновенность документов и иных материалов, полученных от Клиента, от третьих лиц. По завершении договорных отношений оригиналы соответствующих документов и материалов возвращаются Клиенту или остаются на хранении в Компании, а бумажные копии уничтожаются.

2.4. Компания принимает необходимые и достаточные организационные и технические меры для защиты персональной информации Клиента от неправомерного или случайного доступа, уничтожения, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

3. Использование персональной информации.

3.1. Компания обязуется использовать персональную информацию своих Клиентов только в целях оказания испрашиваемых юридических услуг. Компания не вправе использовать персональную информацию своих Клиентов в целях извлечения прибыли вне связи с оказанием юридических услуг соответствующему Клиенту, в том числе посредством использования инсайдерской информации на рынке ценных бумаг.

4. Раскрытие персональной информации.

4.1 Запрет на раскрытие персональной информации Клиентов третьим лицам не распространяется на следующие случаи:

4.1.1. Дача Клиентом устного, письменного или конклюдентного согласия на раскрытие информации. Под конклюдентным согласием понимается согласие, которое очевидно следует из действий Клиента, хотя и не выражено вербально.

4.1.2. Соответствующая информация является или стала общедоступной, в том числе посредством размещения в сети Интернет, либо соответствующая информация, хотя и не является общедоступной, но известна третьему лицу. В последней ситуации запрет на разглашение не распространяется только на такое третье лицо.

4.1.3. Компания обязана к раскрытию персональной информации Клиента в соответствии с нормативно- или индивидуально-правовым актом государственного или муниципального органа.

4.1.4. Раскрытие информации необходимо для исполнения Компанией своих обязанностей по оказанию юридических услуг Клиенту.

4.2. Компания обращает внимание на то, что в соответствии со ст. 11 Арбитражного процессуального кодекса РФ и ст. 10 Гражданского процессуального кодекса РФ судебное разбирательство в Российской Федерации является гласным и открытым, поэтому Компания не может гарантировать и не гарантирует конфиденциальность любых документов и сведений, имеющихся в материалах судебного дела. Это обстоятельство должно быть учтено Клиентом при обращении к государственным судебным механизмам защиты.

5. Изменение Политики конфиденциальности.

5.1. Компания имеет право вносить изменения в настоящую Политику конфиденциальности с уведомлением Клиентов посредством размещения действующей редакции Политики конфиденциальности в сети Интернет на сайте Компании — .

Все предложения или вопросы по поводу настоящей Политики конфиденциальности вы можете направить по электронной почте –

Настоящая Политика конфиденциальности персональной информации (далее - Политика) действует в отношении всей информации, которую сайт сайт может получить о пользователе во время использования им сайта. Согласие пользователя на предоставление персональной информации, данное им в соответствии с настоящей Политикой в рамках отношений с одним из лиц, распространяется на все лица.

Использование Сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования Сайта.

1. Персональная информация пользователей, которую получает и обрабатывает Сайт

1.1. В рамках настоящей Политики под «персональной информацией пользователя» понимаются:

1.1.1. Персональная информация, которую пользователь предоставляет о себе самостоятельно заполнении форм обратной связи, включая персональные данные пользователя.

Обязательная для оказания услуг информация, помечена специальным образом. Иная информация предоставляется пользователем на его усмотрение.

1.1.2 Данные, которые автоматически передаются в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сайту), время доступа, адрес запрашиваемой страницы.

1.2.. Сайт не контролирует и не несет ответственность за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на сайте сайт, в том числе в результатах поиска. На таких сайтах у пользователя может собираться или запрашиваться иная персональная информация, а также могут совершаться иные действия.

1.3. Сайт в общем случае не проверяет достоверность персональной информации, предоставляемой пользователями, и не осуществляет контроль за их дееспособностью. Однако Сайт исходит из того, что пользователь предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме регистрации, и поддерживает эту информацию в актуальном состоянии.

2. Цели сбора и обработки персональной информации пользователей

2.1. Сайт собирает и хранит только те персональные данные, которые необходимы для предоставления и оказания услуг.

2.2. Персональную информацию пользователя Сайт может использовать в следующих целях:

2.2.1. Идентификация стороны в рамках соглашений и договоров с сайт;

2.2.2. Предоставление пользователю персонализированных услуг;

2.2.3. Связь с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования Сайта, оказания услуг, а также обработка запросов и заявок от пользователя;

2.2.4. Улучшение качества, удобства их использования, разработка услуг;

2.2.5. Проведение статистических и иных исследований, на основе обезличенных данных.

3. Условия обработки персональной информации пользователя и её передачи третьим лицам

3.1. Сайт хранит персональную информацию пользователей в соответствии с внутренними регламентами конкретных сервисов.

3.2. В отношении персональной информации пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.

При использовании отдельных Сервисов пользователь соглашается с тем, что определённая часть его персональной информации становится общедоступной.

3.3. Сайт вправе передать персональную информацию пользователя третьим лицам в следующих случаях:

3.3.1. Пользователь выразил свое согласие на такие действия;

3.3.2. Передача необходима в рамках использования пользователем определенного Сервиса либо для оказания услуги пользователю;

3.3.3. Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;

3.3.4. Такая передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к полученной им персональной информации;

3.3.5. В целях обеспечения возможности защиты прав и законных интересов сайта сайт или третьих лиц в случаях, когда пользователь нарушает Пользовательское соглашение сервисов сайта.

3.4. При обработке персональных данных пользователей сайт руководствуется Федеральным законом РФ «О персональных данных».

4. Изменение пользователем персональной информации

4.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности.

5. Защита персональной информации пользователей

5. 1. Меры, применяемые для защиты персональной информации пользователей сайт принимает необходимые и достаточные организационные и технические меры для защиты персональной информации пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

6. Изменение Политики конфиденциальности. Применимое законодательство

6.1. Сайт имеет право вносить изменения в настоящую Политику конфиденциальности. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.

6.2. К настоящей Политике и отношениям между пользователем и chistodar.com, возникающим в связи с применением Политики конфиденциальности, подлежит применению право Российской Федерации.

Конфиденциальная информация в любых ее формах и видах тщательно охраняется законом от несанкционированного доступа к ней посторонних лиц. Поэтому последствия разглашения таких сведений более чем серьезны - вплоть до уголовной ответственности, которая в том числе выражается и в лишении свободы. Подробнее о том, что такое конфиденциальность и чем грозит ее нарушение, читайте в настоящей статье.

Конфиденциальность информации: что это значит

Статья 5 закона «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ подразделяет любые сведения, находящиеся в распоряжении граждан, госорганов и юридических лиц, на общедоступные и данные с ограниченным или запрещенным доступом.

К последним могут относиться сведения, составляющие государственную тайну, или конфиденциальная информация.

Важно: доступ к каким-либо информационным объектам может ограничиваться или запрещаться исключительно в соответствии с федеральным законом.

Виды конфиденциальной информации

Все виды сведений, сохранность которых защищается на законодательном уровне, перечислены в одноименном перечне, утвержденном Указом Президента России от 06.03.1997 № 188. Так, в соответствии с документом, к категории конфиденциальной информации относятся:


Важно: служебная и профессиональная тайна не есть равнозначные понятия - доступ к первой могут иметь только отдельные категории государственных и муниципальных служащих, тогда как второй могут располагать лица, не состоящие на госслужбе. Речь идет о сведениях, составляющих врачебную или адвокатскую тайну, тайну исповеди, переписки, телеграфных и почтовых сообщений и т. д.

Не знаете свои права?

Ответственность за разглашение конфиденциальной информации

За разглашение конфиденциальной информации законами РФ предусмотрено 3 вида ответственности:

  • дисциплинарная;
  • административная;
  • уголовная.

Дисциплинарная ответственность варьируется от устного замечания до увольнения и применяется исключительно по результатам служебной проверки , в ходе которой должна быть установлена причастность работника к утечке сведений, а также его вина в этом.

Скачать форму приказа

Административное наказание наступает за разглашение любого вида конфиденциальной информации и, согласно статье 13.14 КоАП РФ, представляет собой штраф в размере от 500 до 1 000 рублей для рядовых граждан и от 4 000 до 5 000 рублей для работников, наделенных организационно-распорядительными полномочиями, то есть должностных лиц.

Уголовное законодательство относится к ответственности за нарушение режима конфиденциальности более избирательно - она применяется при условии разглашения коммерческой, банковской или налоговой тайны. При этом сбор таких сведений, согласно статье 183 УК РФ, должен осуществляться заведомо незаконными путями - посредством подкупа, угроз, хищения документов и т. д.

Наказание зависит от обстоятельств преступления и его последствий - от штрафа до 500 000 рублей до 7 лет тюрьмы.

Статья 183 - не единственная норма УК РФ, предусматривающая ответственность за разглашение конфиденциальных сведений. Например, раскрытие информации о фирме, повлекшее падение стоимости ее акций (инсайдерской информации), подпадает под действие статьи 185.6 УК РФ и грозит виновному немалыми штрафами - от 300 000 до 1 000 000 рублей, а также запретом на замещение определенных должностей в течение 4 лет.

Кроме того, параллельно с любым видом наказания может быть рассмотрен вопрос о привлечении лица, допустившего утечку информации с ограниченным доступом, к гражданско-правовой ответственности. Речь идет об обязанности возместить вред, причиненный в результате разглашения сведений, - как материальный, так и моральный.

Поделиться: