Конфиденциальность, что это такое и как защищается законом?

Конфиденциальность, что это такое и как защищается законом?

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут.

Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.

ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

  • Немного подробнее по каждой категории.
  • Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
  • Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
  • судимостях.

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят, передают и уничтожают.

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив.

Определить срок хранения документа онлайн

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Смотреть, что будет, если неправильно хранить документы

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Пост написан пользователем Создайте свой блог, выскажитесь и станьте суперзвездой «Клерка» Создать блог

Право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23, 24 Конституции России)

Право на неприкосновенность частной жизни, личную и семей­ную тайну, защиту своей чести и доброго имени предполагает запрет любых форм произвольного вмешательства в частную жизнь со сто­роны государства, а также гарантирует защиту со стороны государства от такого вмешательства третьих лиц.

Под частной жизнью понимается физическая и духовная сфера, которая контролируется самим индивидом, свободна от внешне­го воздействия, то есть это семейная и бытовая сфера индивида, сфера его общения, отношение к религии, внеслужебные заня­тия, увлечения и иные сферы отношений, которым сам человек не желает придавать гласность, если этого не требует закон.

Личная и семейная тайна являются одним из элементов частной жизни.

К личной и семейной тайне можно отнести тайну усыновления, тайну частной жизни супругов, личные имущественные и неимуще­ственные отношения, существующие в семье и другие сведения.

Со­держание права на личную и семейную тайну составляют правомочия члена семьи требовать неразглашения соответствующих сведений и правомочия распоряжаться соответствующей информацией по свое­му усмотрению либо с согласия других членов семьи.

В процессе жизни человека различные люди на законных осно­ваниях получают информацию об определенны сторонах его частной жизни. Среди них врачи, адвокаты, нотариусы, работники правоохра­нительных органов, священнослужители и т.д.

На основании этого в законодательстве закреплены различные требования к сохранению в тайне информации о частной жизни граждан. Так, врачебную тайну составляет информация о факте обращения граждан за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении.

Но­тариус обязан хранить в тайне сведения, которые стали ему известны в связи с осуществлением его профессиональной деятельности.

При рассмотрении определенных категорий гражданских дел их разбира­тельство также может носить закрытый характер, в частности, по делам об усыновлении (удочерении) ребенка, а также по ходатайству лица в целях сохранения охраняемой законом тайны, неприкосновенности частной жизни (статья 10 Гражданского процессуального кодекса Рос­сийской Федерации).

В статье 24 Конституции России в развитие данного права закрепле­но, что сбор, хранение, использование и распространение информа­ции о частной жизни лица без его согласия не допускаются.

Согласно Федеральному закону «О персональных данных» обработка персональ­ных данных, в том числе и сведений о частной жизни лица, включая их сбор, систематизацию, накопление, хранение, уточнение, использова­ние, распространение, может осуществляться только с согласия субъек­та персональных данных (статья 6).

При этом операторы персональных данных и третьи лица, получающие доступ к персональным данным, должны обеспечивать конфиденциальность таких данных.

В случае наличия данных о частной жизни лица, а также иной ин­формации, затрагивающей права и свободы человека и гражданина, у органов государственной власти и местного самоуправления, их долж­ностные лица обязаны обеспечить каждому возможность ознакомле­ния с соответствующими документами и материалами, если иное не предусмотрено законом.

Нарушение неприкосновенности частной жизни влечет ответ­ственность, вплоть до уголовной, за незаконное собирание либо рас­пространение сведений о частной жизни лица, составляющих его лич­ную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (статья 137 Уго­ловного кодекса Российской Федерации).

Читайте также:  Можно ли делать ремонт в квартире в выходные дни по закону - правила и ответственность за их нарушение

Защита чести и доброго имени гражданина осуществляется по­средством требования в судебном порядке опровержения порочащих его честь и достоинство сведений. Граждане также обладают правом требовать возмещения убытков и морального вреда, причиненных распространением порочащих их честь и достоинство сведений (ста­тья 152 Гражданского кодекса Российской Федерации).

Основные законодательные акты:

  • Гражданский кодекс Российской Федерации; Уголовный кодекс Российской Федерации; 
  • Семейный кодекс Российской Федерации;
  • Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации»;
  • Федеральный закон «О свободе совести и о религиозных объединениях»;
  • Основы законодательства Российской Федерации о нотариате; 
  • Федеральный закон «Об адвокатской деятельности и адвокатуре в Российской Федерации»;
  •  Федеральный закон «О персональных данных».

Пять ФЗ о защите информации, которые стоит знать | Блог Mail.Ru Cloud Solutions

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы Mail.ru Cloud Solutions находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Конфиденциальная информация: как защитить корпоративные данные

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд.

Читайте также:  Мнимая и притворная сделки: основания признания таковыми и основные отличия

Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру.

Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
  • Документы материальные и представленные в электронном виде.
  • Технические средства носителей информации и их обработки.
  • Выпускаемая продукция.
  • Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.
  • Искажение информации.
  • Утеря информации.
  • Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.
  • Запросы из государственных органов.
  • Проведение переговоров с потенциальными контрагентами.
  • Посещения территории предприятия.
  • Документооборот.
  • Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

  • Акустический канал утечки информации.
  • Визуальный канал.
  • Доступ к компьютерной сети.
  • Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
  • Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).

  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).

  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).

  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).

  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.
  • Оптимизировать защищаемые информационные потоки.
  • Определить формы представляемой информации.
  • Установить виды угроз защищаемой информации и варианты их реализации.
  • Установить, кому может быть интересна защищаемая информация.
  • Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
  • Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
  • Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.
  • Удаленный доступ к информации.
  • Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
  • Настройка программного оборудования (особенно после обновления).
  • Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
  • Разграничение доступа к информации.
  • Дробление информации на части.

5 принципов информационной безопасности

  1. «Принцип системности».

    К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

  2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

  3. «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

  4. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

  5. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в х к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности; 
  • Владельцам бизнеса; 
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесь

Федеральный закон от 30 декабря 2020 г. N 515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности"

Принят Государственной Думой 22 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 20 апреля 1995 года N 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» (Собрание законодательства Российской Федерации, 1995, N 17, ст. 1455; 1998, N 30, ст. 3613; 1999, N 2, ст. 238; 2000, N 10, ст. 1067; 2001, N 26, ст.

2580; N 49, ст. 4566; 2002, N 50, ст. 4928; 2003, N 27, ст. 2700; 2004, N 27, ст. 2711; N 35, ст. 3607; 2009, N 29, ст. 3601; 2011, N 1, ст. 16; N 7, ст. 901; N 50, ст. 7366; 2013, N 51, ст. 6697; 2016, N 27, ст. 4160, 4238; 2017, N 7, ст. 1026; N 27, ст. 3945; 2019, N 40, ст.

5488) следующие изменения:

  • 1) часть первую статьи 1 дополнить словами «, а также в иных случаях, предусмотренных настоящим Федеральным законом»;
  • 2) в части второй статьи 2 слова «принято решение о применении мер» заменить словами «применяются меры»;
  • 3) в части первой статьи 5:
  • а) в абзаце первом слова «могут применяться» заменить словом «применяются»;
  • б) пункт 4 дополнить словами «и об их имуществе»;
  • 4) статью 9 изложить в следующей редакции:
  • «Статья 9. Обеспечение конфиденциальности сведений о защищаемых лицах и об их имуществе

При наличии угрозы посягательства на жизнь, здоровье и имущество защищаемых лиц органом, обеспечивающим безопасность, налагается временный запрет на выдачу находящихся у оператора сведений о личности защищаемых лиц и об их имуществе (о персональных данных), за исключением случаев, если такие сведения выясняются в установленном порядке в связи с производством по уголовному делу. Обеспечение конфиденциальности сведений о защищаемых лицах и об их имуществе осуществляется оператором на основании решения органа, обеспечивающего безопасность, в порядке, установленном Правительством Российской Федерации.

Обеспечение конфиденциальности сведений может осуществляться в отношении лиц, перечисленных в пунктах 1 — 12 части первой статьи 2 настоящего Федерального закона, также при отсутствии угрозы посягательства на их жизнь, здоровье и имущество.

Конфиденциальность сведений может быть обеспечена в том числе одновременно с их вступлением в должность или назначением на должность. В этих случаях данная мера безопасности может быть применена также в отношении близких указанных лиц.

Перечень лиц, в отношении которых может применяться такая мера безопасности, определяется руководителем соответствующего государственного органа, в котором работает (проходит службу) указанное лицо.

При этом запрещается выдача находящихся у оператора сведений о личности таких лиц и об их имуществе (о персональных данных), за исключением случаев согласия указанного лица на их выдачу, выяснения указанных сведений в соответствии с законодательством Российской Федерации о противодействии коррупции, об оперативно-розыскной деятельности либо в связи с производством по уголовному делу, а также в порядке гражданского и (или) административного судопроизводства. Обеспечение конфиденциальности сведений осуществляется оператором в порядке, установленном Правительством Российской Федерации в отношении лиц, перечисленных в пунктах 1 — 10 и 12 части первой статьи 2 настоящего Федерального закона, и их близких на основании решения органа федеральной службы безопасности, а в отношении лиц, перечисленных в пункте 11 части первой статьи 2 настоящего Федерального закона, и их близких на основании решения органа, обеспечивающего их безопасность.

  1. Формирование и ведение сведений о лицах, подлежащих государственной защите в соответствии с настоящей статьей, осуществляются в порядке, установленном Президентом Российской Федерации.
  2. Термины «персональные данные» и «оператор», используемые в настоящем Федеральном законе, применяются в том значении, в каком они используются в Федеральном законе от 27 июля 2006 года N 152-ФЗ «О персональных данных».»;
  3. 5) часть вторую статьи 13 дополнить предложением следующего содержания: «В случаях, предусмотренных частью второй статьи 9 настоящего Федерального закона, мера безопасности может применяться также при отсутствии реальной угрозы безопасности лица.»;
  4. 6) в части четвертой статьи 14 слова «и сроков их осуществления» заменить словами «, а также сроков их осуществления (за исключением случаев, предусмотренных частью второй статьи 9 настоящего Федерального закона)».
Читайте также:  Какие документы нужны для получения пособия на ребенка до 1,5 лет

Статья 2

Главу II Федерального закона от 12 августа 1995 года N 144-ФЗ «Об оперативно-розыскной деятельности» (Собрание законодательства Российской Федерации, 1995, N 33, ст. 3349; 1999, N 2, ст. 233; 2000, N 1, ст. 8; 2001, N 13, ст. 1140; 2003, N 2, ст. 167; N 27, ст. 2700; 2005, N 49, ст.

5128; 2007, N 31, ст. 4008, 4011; 2008, N 18, ст. 1941; N 52, ст. 6227, 6235; 2011, N 1, ст. 16; N 48, ст. 6730; 2012, N 29, ст. 3994; 2013, N 14, ст. 1661; N 26, ст. 3207; N 44, ст. 5641; N 51, ст. 6689; 2016, N 27, ст. 4238; N 28, ст. 4558; 2019, N 31, ст.

4470) дополнить статьей 121 следующего содержания:

  • «Статья 121. Недопустимость разглашения сведений об осуществлении оперативно-розыскной деятельности
  • Сведения, содержащиеся в запросах, направляемых гражданам и организациям в процессе осуществления оперативно-розыскной деятельности, не подлежат разглашению (за исключением случаев, предусмотренных настоящей статьей), о чем указывается в соответствующем запросе.
  • Указанные сведения могут быть преданы гласности лишь с разрешения должностного лица органа, осуществляющего оперативно-розыскную деятельность, и только в том объеме, в каком им будет признано это допустимым, если того требуют служебные интересы.
  • Запрет на предание гласности сведений об осуществлении оперативно-розыскной деятельности не распространяется на сведения, которые:
  • оглашены в открытом судебном заседании либо преданы гласности в ходе досудебного производства с разрешения следователя, дознавателя;
  • изложены в заявлениях, жалобах и иных документах при оспаривании решений или действий органов (должностных лиц), осуществляющих оперативно-розыскную деятельность;

распространены органом, осуществляющим оперативно-розыскную деятельность, следователем, дознавателем, прокурором или судом в средствах массовой информации, информационно-телекоммуникационной сети «Интернет» или иным публичным способом.».

Статья 3

Пункт 6 части 2 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 52, ст. 6439; 2011, N 31, ст.

4701) дополнить словами «, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них».

Президент Российской Федерации В. Путин

Политика конфиденциальности

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

  • — Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
  • — Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
  • — Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
  • — Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
  • — Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
  • — Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб.

/чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему.

На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

  1. Какие термины используют в законе
  2. Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
  3. Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

  • Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
  • Пример политики конфиденциальности
  • В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России

Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам.

Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 02.02.2021

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *