Здравствуйте. С этой статьи я хочу начать небольшой цикл статей о защите персональных данных (далее ПД) на территории РФ. Тема очень актуальна, т.к. с 1 января 2011 года вступает в силу федеральный закон №152-ФЗ «О персональных данных» и все государственные и муниципальные учреждения, а так же львиная доля компаний должны выполнить все требования данного закона. И поэтому я хочу объяснить, что же это за закон и с чем его едят.
Федеральный закон «О персональных данных» — нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. (с) Wikipedia
Закон был принят 8 июля 2006 года, и вступил в силу 26 декабря 2007 года. На исполнение закона было выделено время до 1 января 2010 года, но срок был перенесен на 1 января 2011 года в связи с тем, что к закону отнеслись несерьезно. Теперь же пятки у многих горят.
Начнем.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Это «любая информация», которую мы указываем в анкетах при поступлении на работу, при регистрации на интернет-ресурсах при оплате жилищно-коммунальных услуг. Если будите оплачивать квитанции через банк, то увидите отдельный пункт на нем о разрешении обработки персональных данных. Я с таким уже сталкивался.
В организациях это список должностных лиц (субъектов ПД), базы данных клиентов (если стоит CRM). Поэтому закон в основном ориентируется на защиту персональных данных в организациях с большим количеством сотрудников и/или клиентов.
В формулировке под «другая информация» может скрываться как номер и пин кредитной карты, так и предпочтения в выборе автомобиля. При этом это будут данные совершенно разных весовых категорий.
Свои персональные данные не стоит оставлять где попало. Если вы уверенны в том, кому их предоставляете, то можете смело их указывать.
ПД делятся в свою очередь на следующие категории:
• категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 — обезличенные и (или) общедоступные персональные данные.
Проще всего соответствовать закону, когда обрабатываешь 3 и 4 категории, т.к. регуляторы не слишком критичны к их защите.
Персональные данные могут обрабатывать только операторы.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Для того чтобы стать оператором необходимо отослать уведомление в Федеральную службы по надзору в сфере связи и массовых коммуникаций. Это лишь первый шаг к обработке персональных данных.
Если учесть, что почти каждая организация, будь она малой или крупной, должна обрабатывать хотя бы данные своих работников, то операторов должно быть минимум 4 млн. Крупные фирмы, госкорпорации и прочие гиганты российского бизнеса большей частью уже выполнили все требования закона, что нельзя сказать о малом и среднем бизнесе.
«Все, я все сделал» — обрадовался бы эйчар или же системный администратор (именно их чаще всего вынуждают выполнить требования данного закона) после отправки уведомления об обработке персональных. Но радость их была бы недолгой, т.к. уведомления регулятора это лишь вершина айсберга.
Оператором быть не так-то просто. Посмотрите что написано законе.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Все персональные данные обрабатываются в информационных системах персональных данных (ИСПДн). Это может быть база данных на сайте или же табличка в Excel.
Вот тут для оператора, если он сам намеревается привести свои системы в порядок согласно закону, придется прочитать минимум 4 закона, а так же не менее 40 нормативно-правовых актов.
ИСПДн классифицируются следующим образом:
1. Класс один (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПД может привести к значительным негативным последствиям для субъекта ПД;
2. Класса второй (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПД может привести к негативным последствиям для субъекта ПД;
3. Класс третий (К3) — информационные системы, для которых нарушение заданной характеристики безопасности ПД может привести к не значительным негативным последствиям для субъекта ПД;
4. Класс четыре (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПД не приводит к негативным последствиям для субъекта ПД.
Все касательно ИСПДн указано в нормативно-правовых актах ФСБ и ФСТЭК.
ФСТЭК говорит нам, что любые персональные данные были защищены, а их ИСПДн сертфицированы (не во всех случаях). При обработке ПД, касающихся религиозной информации, информации о его здоровье и интимной жизни, необходима защита по каналу ПЭМИН (побочное электромагнитное излучение и навогдки)
Не вдаваясь в этой статье в подробности можно сказать, что защита персональных данных это дорогое удовольствие. Конечно, можно провести все в порядок и без помощи специалистов и технических средств защиты информации, но знаете же, скупой платит дважды.
Предположим наша фирма занимается рекрутингом специалистов через социальные и профессиональные сети (Вконтакте, Мой круг). Персональными данными являются данные пользователя, а оператором вышеназванные интернет-ресурсы. Рекрутер берет данные пользователей и вносит их в свою базу. Так я спрашивал о том, законно ли это у одно из рекрутеров Mail.ru, на что мне ответили «мы берем данные из открытых источников». Как бы не так!
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных
Что из этого следует – оператором считается тот, кто ведет обработку персональных данных. И даже хранение чужих персональных данных попадает под эту формулировку. Но и тут все зависит от условий регистрации на интернет-ресурсах, если там указана возможность распространения персональных данных пользователя.
В пункте 4.8 правил социальной сети Вконтакте написано следующее.
Принимая настоящие Правила путем регистрации на Сайте, Пользователь подтверждает свое согласие на обработку Администрацией его персональных данных, предоставленных при регистрации, а также размещаемых Пользователем добровольно на своей персональной странице. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. Администрация Сайта обрабатывает персональные данные Пользователя в целях предоставления Пользователю услуг, в том числе, в целях получения Пользователем персонализированной (таргетированной) рекламы; проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта. Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. Администрация Сайта вправе использовать предоставленную Пользователем информацию, в том числе персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.
Пункт составлен практически идеально. Такой пункт с 2011 года необходимо включать в каждое пользовательское соглашение между интернет-ресурсом и пользователем.
Совсем по-другому обстоят дела в профессиональной сети «Мой круг». Они пошли несколько другим путем.
Пункт 2.5 Пользовательского соглашения
Присоединяясь к настоящему Соглашению, Пользователь дает согласие на обработку Яндексом предоставляемых им в составе Информации персональных данных в целях заключения между таким Пользователем и Яндексом настоящего Соглашения, а также его последующего исполнения
И еще.
Пункт 3.4 Пользовательского соглашения
Яндекс не несет ответственности за использование (как правомерное, так и неправомерное) третьими лицами Информации, размещенной Пользователем на Сервисе, включая её воспроизведение и распространение, осуществленные как в рамках Сервиса, так и иными возможными способами.
Все понятно и без объяснений. Яндекс имеет хорошую репутацию и ему, что логично, не хочется ее портить в связи с наступающим на пятки законом «О персональных данных».
Москвичи должны знать, что МГТС часто названивают и рассказывают какой у них хороший интернет. Если я являюсь абонентом телефонной связи, то я сам знаю, нужен мне интернет или нет. С такими мыслями я ответил звонившему оператору — в договоре нет пункта о том, что я даю вам право звонить мне, т.е. без особой нужды и в рекламных ц елях обрабатывать мои ПД (договор старый). Вот уже полгода не звонят.
Если ваши персональные данные обрабатывают незаконно или же без соблюдения закона, то вы можете отправить на имя регулятора уведомление о возможных нарушениях. Интересно, чем рискует оператор ПД?
Регулятор имеет полное право остановить обработку персональных данных оператором. Это влечет за собой остановку работы, если ПД являются краеугольным камнем бизнеса. Потеря репутации и имиджа на рынке так же даст о себе знать. И штраф не заставит себя ждать, он пока мал, но все ожидают ужесточения наказания – 5 – 10 т.р. откупиться можно.
Нужен ли данный закон?
Данный закон необходим, это, безусловно, но вопрос в том, как он измениться в ближайшее время. «Дыр» и двоякости в документе не мало, но тем не менее он есть, основные нормативно-правовые и методические документы и акты регуляторы сделали. Что еще необходимо? Необходимо добросовестно и с умом выполнять данный закон.
P.S. В следующей статье я попробую проанализировать ситуацию, сложившуюся с применением закона к CRM-системам, распространяющихся по модели SAAS
Что это за закон такой?
Федеральный закон «О персональных данных» — нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. (с) Wikipedia
Закон был принят 8 июля 2006 года, и вступил в силу 26 декабря 2007 года. На исполнение закона было выделено время до 1 января 2010 года, но срок был перенесен на 1 января 2011 года в связи с тем, что к закону отнеслись несерьезно. Теперь же пятки у многих горят.
Начнем.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Это «любая информация», которую мы указываем в анкетах при поступлении на работу, при регистрации на интернет-ресурсах при оплате жилищно-коммунальных услуг. Если будите оплачивать квитанции через банк, то увидите отдельный пункт на нем о разрешении обработки персональных данных. Я с таким уже сталкивался.
В организациях это список должностных лиц (субъектов ПД), базы данных клиентов (если стоит CRM). Поэтому закон в основном ориентируется на защиту персональных данных в организациях с большим количеством сотрудников и/или клиентов.
В формулировке под «другая информация» может скрываться как номер и пин кредитной карты, так и предпочтения в выборе автомобиля. При этом это будут данные совершенно разных весовых категорий.
Свои персональные данные не стоит оставлять где попало. Если вы уверенны в том, кому их предоставляете, то можете смело их указывать.
ПД делятся в свою очередь на следующие категории:
• категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 — обезличенные и (или) общедоступные персональные данные.
Проще всего соответствовать закону, когда обрабатываешь 3 и 4 категории, т.к. регуляторы не слишком критичны к их защите.
Персональные данные могут обрабатывать только операторы.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Для того чтобы стать оператором необходимо отослать уведомление в Федеральную службы по надзору в сфере связи и массовых коммуникаций. Это лишь первый шаг к обработке персональных данных.
Если учесть, что почти каждая организация, будь она малой или крупной, должна обрабатывать хотя бы данные своих работников, то операторов должно быть минимум 4 млн. Крупные фирмы, госкорпорации и прочие гиганты российского бизнеса большей частью уже выполнили все требования закона, что нельзя сказать о малом и среднем бизнесе.
«Все, я все сделал» — обрадовался бы эйчар или же системный администратор (именно их чаще всего вынуждают выполнить требования данного закона) после отправки уведомления об обработке персональных. Но радость их была бы недолгой, т.к. уведомления регулятора это лишь вершина айсберга.
Оператором быть не так-то просто. Посмотрите что написано законе.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Все персональные данные обрабатываются в информационных системах персональных данных (ИСПДн). Это может быть база данных на сайте или же табличка в Excel.
Вот тут для оператора, если он сам намеревается привести свои системы в порядок согласно закону, придется прочитать минимум 4 закона, а так же не менее 40 нормативно-правовых актов.
ИСПДн классифицируются следующим образом:
1. Класс один (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПД может привести к значительным негативным последствиям для субъекта ПД;
2. Класса второй (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПД может привести к негативным последствиям для субъекта ПД;
3. Класс третий (К3) — информационные системы, для которых нарушение заданной характеристики безопасности ПД может привести к не значительным негативным последствиям для субъекта ПД;
4. Класс четыре (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПД не приводит к негативным последствиям для субъекта ПД.
Все касательно ИСПДн указано в нормативно-правовых актах ФСБ и ФСТЭК.
ФСТЭК говорит нам, что любые персональные данные были защищены, а их ИСПДн сертфицированы (не во всех случаях). При обработке ПД, касающихся религиозной информации, информации о его здоровье и интимной жизни, необходима защита по каналу ПЭМИН (побочное электромагнитное излучение и навогдки)
Не вдаваясь в этой статье в подробности можно сказать, что защита персональных данных это дорогое удовольствие. Конечно, можно провести все в порядок и без помощи специалистов и технических средств защиты информации, но знаете же, скупой платит дважды.
Что на практике?
Предположим наша фирма занимается рекрутингом специалистов через социальные и профессиональные сети (Вконтакте, Мой круг). Персональными данными являются данные пользователя, а оператором вышеназванные интернет-ресурсы. Рекрутер берет данные пользователей и вносит их в свою базу. Так я спрашивал о том, законно ли это у одно из рекрутеров Mail.ru, на что мне ответили «мы берем данные из открытых источников». Как бы не так!
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных
Что из этого следует – оператором считается тот, кто ведет обработку персональных данных. И даже хранение чужих персональных данных попадает под эту формулировку. Но и тут все зависит от условий регистрации на интернет-ресурсах, если там указана возможность распространения персональных данных пользователя.
В пункте 4.8 правил социальной сети Вконтакте написано следующее.
Принимая настоящие Правила путем регистрации на Сайте, Пользователь подтверждает свое согласие на обработку Администрацией его персональных данных, предоставленных при регистрации, а также размещаемых Пользователем добровольно на своей персональной странице. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. Администрация Сайта обрабатывает персональные данные Пользователя в целях предоставления Пользователю услуг, в том числе, в целях получения Пользователем персонализированной (таргетированной) рекламы; проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта. Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. Администрация Сайта вправе использовать предоставленную Пользователем информацию, в том числе персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.
Пункт составлен практически идеально. Такой пункт с 2011 года необходимо включать в каждое пользовательское соглашение между интернет-ресурсом и пользователем.
Совсем по-другому обстоят дела в профессиональной сети «Мой круг». Они пошли несколько другим путем.
Пункт 2.5 Пользовательского соглашения
Присоединяясь к настоящему Соглашению, Пользователь дает согласие на обработку Яндексом предоставляемых им в составе Информации персональных данных в целях заключения между таким Пользователем и Яндексом настоящего Соглашения, а также его последующего исполнения
И еще.
Пункт 3.4 Пользовательского соглашения
Яндекс не несет ответственности за использование (как правомерное, так и неправомерное) третьими лицами Информации, размещенной Пользователем на Сервисе, включая её воспроизведение и распространение, осуществленные как в рамках Сервиса, так и иными возможными способами.
Все понятно и без объяснений. Яндекс имеет хорошую репутацию и ему, что логично, не хочется ее портить в связи с наступающим на пятки законом «О персональных данных».
Москвичи должны знать, что МГТС часто названивают и рассказывают какой у них хороший интернет. Если я являюсь абонентом телефонной связи, то я сам знаю, нужен мне интернет или нет. С такими мыслями я ответил звонившему оператору — в договоре нет пункта о том, что я даю вам право звонить мне, т.е. без особой нужды и в рекламных ц елях обрабатывать мои ПД (договор старый). Вот уже полгода не звонят.
Если ваши персональные данные обрабатывают незаконно или же без соблюдения закона, то вы можете отправить на имя регулятора уведомление о возможных нарушениях. Интересно, чем рискует оператор ПД?
Регулятор имеет полное право остановить обработку персональных данных оператором. Это влечет за собой остановку работы, если ПД являются краеугольным камнем бизнеса. Потеря репутации и имиджа на рынке так же даст о себе знать. И штраф не заставит себя ждать, он пока мал, но все ожидают ужесточения наказания – 5 – 10 т.р. откупиться можно.
Нужен ли данный закон?
Данный закон необходим, это, безусловно, но вопрос в том, как он измениться в ближайшее время. «Дыр» и двоякости в документе не мало, но тем не менее он есть, основные нормативно-правовые и методические документы и акты регуляторы сделали. Что еще необходимо? Необходимо добросовестно и с умом выполнять данный закон.
P.S. В следующей статье я попробую проанализировать ситуацию, сложившуюся с применением закона к CRM-системам, распространяющихся по модели SAAS
