Защита персональных данных

ВВЕДЕНИЕ

В настоящее время вопрос защиты персональных данных как никогда актуален. Связано это с QR-кодами. Что такое QR-код? Это графическое изображение, состоящее из белых и темных участков, скрывающее информацию. В случае с вакцинацией, код содержит ссылку, по которой можно проверить действительность сертификата, а также дату рождения, паспортные сведения. Все это является нашими персональными данными.

Бушует огромное количество споров относительно введения QR-кодов. Некоторые считают эту меру необходимостью. Другие, наоборот, сопротивляются, ведь теперь доступ к персональным данным получат лица, не несущие ответственности за их утечку.

Это не единственная ситуация, связанная с угрозой персональным данным. 

Проблема охраны персональных данных обладает глобальным характером. Принципы регулирования отношений в области безопасности персональных данных совпадают в законодательстве многих государств. Неслучайно нормы международного права лежат в основе нашего национального законодательства.

В 1981 году в Страсбурге Советом Европы была принята «Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера».

В 1984 году в Англии издан «Акт о защите данных».

В 1990 году принят Закон ФРГ «О совершенствовании обработки данных и защите информации».

Цель этих документов — гарантировать безопасность информации о личности. А какие гарантии предоставляет нам Конституция РФ?

Статья 23 закрепляет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также тайну переписки, телефонных переговоров, иных сообщений.

Статья 24 запрещает сбор, хранение, использование, распространение информации о частной жизни лица без его согласия.

В нашей стране, помимо Конституции, важную роль играют:

  • Федеральный закон №152–ФЗ «О персональных данных»;
  • Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации».

ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?

Наиболее общее понятие — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Самое главное — конфиденциальный характер такой информации.

Это положение может конкретизироваться в зависимости от отрасли законодательства. Например:

— В Трудовом кодексе РФ персональные данные — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

— В Федеральном законе №143-ФЗ «Об актах гражданского состояния» персональные данные — сведения, ставшие известными работнику органа ЗАГСа в связи с государственной регистрацией акта гражданского состояния».

Так или иначе, персональными данными принято считать информацию, которая идентифицирует гражданина, а именно: данные паспорта или иного документа, свидетельство о рождении, номер телефона и электронной почты, место работы или учёбы, место жительства, семейное положение и иные сведения.

СУБЪЕКТЫ ОТНОШЕНИЙ ИНСТИТУТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Можно выделить три группы субъектов:

  1. Субъект персональных данных, то есть лицо, которого касаются персональные данные.
  2. Обладатель массива персональных данных, например, органы государственной власти.
  3. Получатель персональных данных (оператор) — юридическое лицо, орган государственной власти, орган местного самоуправления, которому выявляются персональные данные.

ДЕЙСТВИЯ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Любые действия с персональными данными называются обработкой, которая допускается исключительно с согласия собственника информации. Это означает, что при обработке оператор обязан получить письменное разрешение.

Действия с персональными данными:

— сбор;

— хранение;

— блокирование;

— уничтожение;

— обезличивание;

— предоставление;

— распространение.

Сбор — запись, унификация и копирование личных сведений о человеке, включая место его работы, должность, сведения об учёбе, службе, семейном положении, вероисповедании, месте пребывания и иные данные.

Хранение — обеспечение сохранности актуальных данных о человеке в течение определённого времени. 

Блокировка — ограничение доступа к персональным данным в силу закона, решения уполномоченного органа или судебного решения с целью недопущения распространения, хищения или утечки данных.

Уничтожение — удаление из базы данных информации о человеке, в том числе в результате несанкционированного доступа (взлома) баз данных.

Обезличивание — невозможность идентификации данных о человеке вследствие скрытого доступа к данным. В частности, эту функцию нередко используют суды при публикации судебных актов. 

Распространение — передача публичным или иным способом информации о человеке широкому кругу лиц. Как правило, это происходит вследствие нарушения прав человека.

Кроме перечисленных действий, оператор также обеспечивает безопасность обрабатываемых персональных данных. Оператор не вправе передавать их другим лицам.

СРОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 

Как правило, персональные данные хранятся с момента их получения до момента, когда цель обработки персональных данных достигнута, после чего не позднее 30 (тридцати) дней персональные данные уничтожаются в связи с достижением цели обработки.

Персональные данные о человеке могут меняться за исключением его даты и места рождения, группы крови, отпечатков пальцев. Поэтому хранятся персональные данные ограниченный срок.

МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

С 1 марта 2021 года введены дополнительные меры по защите персональных данных. В частности:

  1. Запрещается производить сбор данных по умолчанию, то есть без письменного согласия владельца.
  2. Согласие на обработку персональных данных оформляется отдельным документом с целью правильного учета и обработки.
  3. Лицо может отказаться от обработки отдельных персональных данных, то есть должна быть предусмотрена возможность предоставления согласия лица отдельно на каждый вид данных.
  4. Гражданин вправе запретить передачу данных неограниченному кругу лиц, тем самым ограничив доступ к своим данным лишь для необходимых законов случаев.

ЗАЧЕМ НУЖНА ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Наверное, каждый пользователь ВКонтакте хоть раз сталкивался со взломом его страницы. Возникает опасность распространения личных фотографий, переписок и других сведений.

Незаконное завладение персональными данными может привести и к потере денег, имущества. Ведь зная конфиденциальную информацию, злоумышленник получает доступ к банковским счетам, системам идентификации и паролей.

С целью защиты данных применяют систему двойной защиты, при которой сложнее совершить хищение имущества. В частности, банк может применить к физическому лицу усиленную идентификацию личности или записать его голос, позвонить лицу по телефону для уточнения в подозрительных ситуациях.

Также существует такой способ как обезличивание данных: в судебных решениях при публикациях данные об участниках производств скрываются.

К сожалению, количество судебных дел, связанных с хищением персональных данных, выросло. И большинство из них возбуждено против салонов сотовой связи. Сотрудники сотовых компаний продают базы данных клиентов. Вспомните, как часто вам звонят мошенники и представляются сотрудниками банков.

СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ ВЛАДЕЛЬЦАМИ САЙТОВ

При регистрации пользователей сайты ведут сбор и хранение их данных. С этой целью каждый сайт обязан опубликовать комплекс документов.

Во-первых, Согласие на обработку персональных данных. Пункт 2 статьи 13.11 КОАП РФ предусматривает штраф за обработку персональных данных без согласия.

Во-вторых, Политика конфиденциальности. Она необходима, так как администрация сайта берёт на себя обязательства по неразглашению и обеспечению режима защиты конфиденциальности персональных данных Пользователя. За отсутствие на сайте документа о персональных данных предусмотрен штраф — пункт 3 статьи 13.11 КоАП.

При этом оператором по сбору информации на сайте будет являться непосредственно его владелец.

На некоторых сайтах ведется автоматизированная обработка данных, которая производится ЭВМ (например, считывание IP-адресов пользователей и иных данных).

По данным Роскомнадзора, в 2020 году ограничен доступ к 777 интернет-ресурсам, на которых персональные данные были размещены с нарушением закона.

При этом размещены они могут быть не только владельцами сайта, но и пользователями, если те имеют возможность публиковать на ресурсе информацию. К примеру, на форумах. В таком случае администратор домена несёт ответственность за такого рода публикации, если при этом раскрываются чьи-то персональные данные.

ПРОВЕРКИ СОБЛЮДЕНИЯ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

Уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор. С целью соблюдения операторами требований в сфере защиты персональных данных Роскомнадзор имеет право в порядке плановой проверки запросить информацию у любого держателя сайта либо оператора, осуществляющего сбор данных.

План официальных проверок на год публикуется на сайте Роскомнадзора, с которым может ознакомиться любой оператор или руководитель.

Внеплановые проверки проводятся чаще всего в целях выявления случаев невыполнения требований закона администраторами сайтов и юридическими лицами при реализации платных услуг или выполнении работ. 

При проверке могут запросить:

  • документы, подтверждающие назначение ответственного лица за сбор и хранение данных; 
  • для сайта — Политику конфиденциальности данных пользователей, Согласие на обработку персональных данных;
  • Журналы учета входящей и исходящей корреспонденции, договоры с клиентами;
  • способ хранения учётных данных сотрудников и иных лиц в компании.
  • инструкции для ответственного за сбор данных оператора.

Особое место занимает организация системы криптографических мер защиты, которая обязана защищать персональные данные от сторонних посягательств. Лицензиаты, получившие права на сбор информации, должны иметь пакет документов для работы, которые обычно готовит юридическая служба организации.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Лица, виновные в нарушении требований закона «О персональных данных» несут следующие виды ответственности: гражданскую, уголовную, дисциплинарную, административную и иную.

В марте 2021 года вступили в силу поправки в Федеральный закон «О персональных данных», а в июле — новые правила контроля и надзора за соблюдением законодательства о персональных данных.

Закон дополнился статьей 10.1, которая определяет особенности обработки персональных данных, включает реальные механизмы контроля не только оператора, но и самого субъекта над распространением его данных.

Теперь нет понятия «общедоступные данные», оно заменено новым — «персональные данные, разрешённые субъектом для распространения».

Обработка таких данных возможна лишь с согласия субъекта, несмотря на «общедоступность». Иными словами, закон больше не придерживается концепции «молчаливого согласия» субъекта на распространение его данных.

Более того, «ограничиться предупреждением» не получится. Нарушения требований закона сразу караются денежными взысканиями.

За неправильно оформленное согласие должностное лицо в компании, курирующее вопросы данных, получит штраф 20–40 тыс. руб., а организация заплатит 30–150 тыс. руб. При повторном аналогичном нарушении сумма штрафа вырастет в два–три раза: 40–100 тыс. руб. для должностного лица и 300–500 тыс. руб. для компании.

ЗАКЛЮЧЕНИЕ

Для обеспечения безопасности собственных данных гражданину необходимо:

1) знать законодательную базу, свои права и обязанности;

2) избегать контакта с сомнительными организациями и любыми лицами, которые стремятся заполучить ваши сведения;

3) использовать защищённое соединение сети, не передавать логины и пароли третьим лицам.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

контакты

Свяжитесь с нами

Мы свяжемся с вами в течение 30 минут