Здравствуйте, в этой статье мы постараемся ответить на вопрос: «какие персональные данные определены как конфиденциальные». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.
Всё, что нужно знать о персональных данных
Все, что происходит с ПДн — это обработка:
- передача;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
Сбор — это тоже обработка.
Обработка бывает трех видов:
- Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, программы, скрипты.
- Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
- Неавтоматизированная — без автоматизации, на бумажных носителях.
Условия. Обработка ПДн должна проходить с согласия субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.
Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.
Условия. К обработке ПДн много требований со стороны 152-ФЗ.
- Данных нужно хранить столько, сколько достаточно для выполнения целей обработки.
- Информация должна храниться так, чтобы можно было определить субъекта, не дольше, чем того требуют цели обработки.
- Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
- Если есть базы данных с разными ПДн, собранными для разных целей, их нельзя объединять.
- После обработки ПДн должны быть уничтожены или обезличены.
- Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие (если страна не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн).
Субъект может в любой момент запросить у оператора (в письменном или электронном виде с помощью усиленной квалифицированной ЭП) какие данные на него есть, цели обработки и состав данных. А если информация неточная или старая — может потребовать ее обновить.
Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.
Меры защиты и ответственность
В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта. Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица. Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения.
Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности. Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.
При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной. Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами. Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.
А является ли утечка данных паспорта основанием для его замены?
Менять паспорт гражданин России обязан в случае достижения 20-летнего и 45-летнего возраста, смены фамилии, имени, отчества, изменения сведений о дате и/или месте рождения, изменения пола, непригодности паспорта для дальнейшего использования из-за износа, перечисляет юрист Ольга Хурумова. Кроме того, паспорт меняют при любых неточностях или ошибках.
Вопрос-ответ
Что мошенники могут сделать с копией паспорта?
По словам адвоката Владимира Постанюка, утечка персональных данных и вытекающие отсюда попытки мошенников оформить кредит не являются поводом для замены документа.
«В такой ситуации можно поменять удостоверение личности в связи с непригодностью использования или, например, в случае его утери. Если вы обнаружили, что третьи лица пытались взять на ваше имя кредит, также можно обратиться в полицию с соответствующим заявлением. В данном случае со дня регистрации заявления будет зарегистрировано отсутствие вашего умысла в дальнейших схемах мошенников», — объясняет эксперт.
Классификация информационных систем персональных данных (ИСПД)
Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем.
По объему ПД системы делят на три типа:
1.
К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.
2.
Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.
3.
К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.
Проанализировав исходные данные, можно присвоить системе соответствующий класс:
- В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
- Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
- Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
- К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.
Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК.
Обработка общедоступных данных
Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.
Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.
ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.
Информационная система персональных данных и оператор – что это?
Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.
Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.
Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.
Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.
Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.
Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации –
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
2. Те же деяния, совершенные лицом с использованием своего служебного положения, –
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Если человек незаконно разгласил коммерческую тайну, к которой его допустили по работе, ему грозит (ч. 2 ст. 183 УК РФ):
- штраф в размере до 1 000 000 рублей;
- или штраф в размере заработной платы или другого дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
- или исправительные работы на срок до двух лет;
- или принудительные работы на срок до трех лет;
- либо лишение свободы на срок до трех лет.
Если человек разгласил секретные сведения, получив их незаконным путем (например, похитил документы, взломал базу данных и т. д.), ему грозит:
- штраф в размере до 500 000 рублей;
- или в размере заработной платы или другого дохода осужденного за период до одного года;
- или исправительные работы на срок до одного года;
- либо принудительные работы / лишение свободы на срок до двух лет.
Если, разгласив коммерческую тайну, виновный причинил фирме крупный ущерб (более 1 500 000 руб.), то наказание строже:
- штраф в размере до 1 500 000 рублей;
- или в размере заработной платы или другого дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
- либо принудительные работы / лишение свободы на срок до пяти лет.
Самое суровое наказание предусмотрено за разглашение секретной информации, повлекшее тяжкие последствия: принудительные работы на срок до пяти лет, либо лишение свободы на срок до семи лет. К тяжким последствиям можно отнести банкротство фирмы, ухудшение ее финансового положения, разорение индивидуального предпринимателя и т. д.
ПРИМЕРИванова, сотрудница фармакологического предприятия, продала сведения о разработке нового лекарства Общество незаконным путем получило лицензию на его производство, и скоро лекарство ограниченной партией поступило в продажу.Впоследствии выяснилось, что это причинило не только ущерб компании, в которой работала Иванова, но и вред здоровью тех, кто купил лекарство и принимал его. Иванова не знала о том, что во время последних опытов работники предприятия пришли к выводу, что лекарство плохо действует на желудок. Ученые собирались вносить изменения в его состав.Следователь возбудил уголовное дело в отношении Ивановой за разглашение коммерческой тайны, которое повлекло тяжкие последствия.
Условие о конфиденциальности в договоре: образец
В зависимости от характера проводимой сделки гражданско-правовые договоры можно сгруппировать:
- На договоры, в которых конфиденциальная информация является обязательным (непосредственным) элементом, например договоры о передаче коммерческой тайны.
- Договоры, в которых коммерческая тайна является одним из элементов проводимой сделки. Тот же самый договор коммерческой концессии (секрет производства входит в совокупность передаваемых исключительных прав).
Также договоры классифицируются по принципу односторонней или взаимной передачи конфиденциальной информации. Все они могут содержать раздел об условиях конфиденциальности.
Условие о взаимной конфиденциальности в договоре может быть прописано следующим образом:
- Указывается название раздела: «Условия взаимной конфиденциальности».
- Дается описание информации, которая является коммерческой тайной. Например: «По настоящему договору конфиденциальной признается вся информация, касающаяся предмета настоящего договора, сроков и хода его выполнения».
- Указывается обязанность по нераспространению конфиденциальных сведений. Например: «Каждая из сторон обязана сохранять режим коммерческой тайны по сведениям настоящего договора, обеспечить защиту от несанкционированного доступа, использования или распространения третьим лицам».
- Оговариваются последствия несоблюдения условий о конфиденциальности. Например: «В случае несоблюдения условий конфиденциальности нарушитель выплачивает неустойку в размере 10% от суммы договора».
- Определяется срок действия условий конфиденциальности. Например: «Условия конфиденциальности вступают в силу с момента подписания настоящего договора и действуют в течение 2 (двух) лет после его прекращения».
В договоре могут быть прописаны условия передачи коммерческой тайны третьим лицам.
Таким образом, для правовой защиты конфиденциальности секретных коммерческих сведений обладатель информации вводит режим коммерческой тайны, который предполагает разработку соглашения о неразглашении либо включение условий о конфиденциальности в договор.
Ряд сведений считаются конфиденциальными в силу прямого указания закона, другие — только при условии введения режима коммерческой тайны и уведомления об этом контрагента. Кроме того, можно включить непосредственно в договор условие о конфиденциальности определенных данных и перечислить их.
Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны. В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления, или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе).
Служебная тайна — информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства .
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).
Как гласит Федеральный закон, “персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация”. Подробнее о том, что такое персональные данные и какие сведения входят в это понятие, мы рассказываем в отдельной статье, а какие категории ПД бывают читайте тут.
К примеру, Сбербанк России при оформлении кредитного продукта запрашивает те личные данные клиента, которые могут подтвердить его платежеспособность, что в дальнейшем приводит к возможности заключения договора с ним. Это такая стандартная информация как ФИО, дата рождения, адреса прописки и проживания, основные сведения паспорта, номер его телефона.
Но Банк имеет возможность попросить предоставить контактную информацию о близких родственниках или друзьях заемщика. Это действие направлено на проверку клиента, а также в случае невозможности дозвониться до него напрямую.
Обязательным условием при оформлении кредитных продуктов является фотографирование клиента. Это условие дает возможность Банку идентифицировать его и обезопасить себя и клиента от мошеннических действий ( часто при краже паспорта заемщика). Фото совместно с заполненной анкетой также является его персональной информацией.
Банк имеет право запрашивать персональные данные клиента для проверки его благонадежности и платежеспособности.
Подробнее о том, что считается персональными данными, мы рассказываем в специальном материале.
Можно ли отозвать согласие и как это сделать?
Клиент имеет право в любой момент отозвать свои персональные данные у Банка, заполнив заявление на прекращение их использования.
Также аннулирование согласия на обработку данных желательно при:
Для заявления на отзыв персональных данных нет строгой формы составления, но оно должно соответствовать следующим требованиям:
Пример текста заявления:
Заявление на отзыв согласия на обработку персональных данных
В соответствии с ч. 5 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных” отзываю свое согласие, ранее выданное ……….(наименование организации, обрабатывающего информацию) на обработку моих персональных данных.
Ответ на настоящий запрос прошу направить в письменной форме по адресу: ……..в установленные законом сроки. Составленное заявление можно отправить по почте на адрес обслуживающего отделения и на юридический адрес Банка.
Также можно обратиться с ним и паспортом в само отделение.
Особым случаем является наличие кредита перед Банком. Как же отозвать свои данные, имея кредит? Читая договор, можно узнать, что Банк не обладает правом разглашать информацию, но в праве ее обрабатывать и изменять на протяжении действия договора. В этом случае невозможно отозвать свои персональные данные, но клиент имеет возможность обратиться в Банк с просьбой не передавать информацию о себе коллекторским службам.
Более подробно об отзыве своего согласия на обработку ПД мы рассказываем в специальном материале.
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Исключения из общего правила
Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:
Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.
Среди характеристик методов преобразования сведений:
Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:
Вне зависимости от выбранного метода обезличивания ФИО хранятся и защищаются на тех же основаниях, что и другие категории ПД.