Можно ли получать пдн по открытым каналам

Передача персональных данных по электронной почте

Можно ли получать пдн по открытым каналам

Терентьев Богдан

Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда «ненужных требований» 21-го приказа? Очень просто: составить «нужную» конкретно вам модель актуальных угроз.

Или попросить того, кто эту модель составляет (и имеет лицнзию по ТЗКИ, как мы выяснили в самом начале), о том, чтобы она соответствовала конкретно Вашим целям.

Передача персональных данных по открытым каналам связи интернет Одновременно, работа по эксплуатации налаженной ИСПДн и техническому обслуживанию всех функционирующих в её составе средств защиты информации, включая и криптографию, в соответствии с тем же законом (и даже той же статьёй 12) не попадает под лицензируемые виды деятельности (т.к. осуществляется эта эксплуатация и обслуживание «для собственных нужд юридического лица»). Такие вот дела.

Передача персональных данных по открытым каналам связи

Внимание СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.
Как передать данные третьим лицам:

  1. Определиться с набором сведений, которые будут переданы.
  2. Дать согласие на передачу.
  3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее. Подготовка документов Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

Пересылка персональных данных по электронной почте

N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее — Закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Врачебная тайна в соответствии с Указом Президента РФ от 6 марта 1997 г.

N 188 включена в перечень сведений конфиденциального характера.

Соответственно, медицинская организация обязана соблюдать как врачебную тайну, так и требования о защите ПДн, в том числе при создании локальных информационных систем, содержащих данные о пациентах и об оказываемых им медицинских услугах (п.

5 ст. 78 Закона N 323-ФЗ). При этом федеральным законодателем предусмотрен ряд исключений из общего правила о недопустимости разглашения сведений, составляющих врачебную тайну.

Минкомсвязи россии разъяснены некоторые вопросы, касающиеся персональных данных

Важно Какой же вывод из ситуации и что делать рядовым операторам ПДн? Всё очень просто: на этапе построения системы нанять того, кто лицензию по ТЗКИ имеет: он вам за 1 раз и одну фиксированную разовую плату всё сделает и далее вы пользуетесь, налаживаете и переоборудуете всё своё хозяйство по своему усмотрению и главное, совершенно бесплатно и законно.

Подробнее я всё это дело описал в отдельной статье здесь. Передача персональных данных по открытым каналам связи без согласия ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г.

AES 256 бит + RSA) для защиты персональных данных).ИСПДн);

  • организацию безопасного межсетевого взаимодействия при подключении ИСПДн к локальным сетям общего пользования или к сети Интернет;
  • применение систем шифрования ПДн при необходимости их передачи по открытым каналам связи, например, при обмене информацией между территориально удаленными филиалами или офисами через сеть Интернет;
  • защиту ПДн, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов, троянов и т.д.

Постановление Правительства № 1119 Важным моментом является тот факт, что все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, то есть сертифицированы ФСТЭК или ФСБ России.

На лицо явная аутентификация по биометрическим признакам (фото физиономии). Т.е.

Думаю, на этих 2 примерах ясна вся суть и все позиции регуляторов. Кстати, в примерах речь шла о фотографиях.

Передача персональных данных по открытым каналам связи запрещена По сути вы можете хранить у себя даже отпечатки пальцев, снимки радужной оболчки глаза или рентгенорафию головного мозга — если это дело не используется для аутентификации, то это не биометрия.

? То есть всё зависит исключительно от целей оператора при обработке этих персональных данных. Конечно, о здравом смысле забывать не стоит. Вопрос №5.

Закона N 152-ФЗ оператор*(1) при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.По общему правилу, установленному п. 1 ч. 1 ст. 6, ст. 9 Закона N 152-ФЗ, обработка ПДн допускается только с согласия субъектов ПДн, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. В частности, обработка ПДн без согласия субъектов ПДн допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п.

5 ч. 1 ст. 6 Закона N 152-ФЗ).Вместе с тем в силу ч. 2 ст.

Передача персональных данных по электронной почте запрет

Для обработки этих данных нужно обязательное письменное одобрение сотрудника. Без его согласия Без согласия информация передается в том случае, если она обезличена (для статистических или иных научных целей) либо является общедоступной.

Обработка биометрических данных может осуществляться без согласия только в связи с осуществлением правосудия, в целях безопасности, в рамках оперативно-розыскной деятельности, следствия. Согласие работника не требуется, если обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

Процедура отправки Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

Передача персональных данных по электронной почте штраф

После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.). Каналы Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте.

Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

Досрочный отзыв В любой момент, даже если данные уже переданы, можно запретить их обработку и хранение другими лицами. В случае отзыва согласия оператор обязан по закону прекратить обработку и уничтожить их в течение месяца.

Передача персональных данных по электронной почте как

Так стоит ли тогда платить за то, что можно получить бесплатно и без особых проблем? А вторая проблема с сертифицированным СКЗИ – их для многих сценариев обработки персональных данных просто не существует и не появиться в ближайшие годы.

Передача персональных данных по открытым каналам связи Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ в качестве средства шифрования.

Получить сертификат ФСБ могут только те технические средства, которые реализуют отечественные криптоалгоритмы (ГОСТ 28147-89). Т.о. д. В результате требования к шифрованию веб трафика выполнить зачастую невозможно, т.к.круг посетителей вебсайта обычно не ограничен.

Давайте посмотрим, как из этой ситуации выкручивается сайт gosuslugi.ru: Все просто! Субъект даёт согласие (галка обязательна!) на передачу своих перс.данных по открытым (незащищённым) каналам связи Интернет. Т.о.

С разрешения владельца С согласия владельца передаются данные при любом заключении договора, а также при трудоустройстве. От работника в этом случае требуется письменное согласие.

Если данные сотрудника, возможно, получить только у третьей стороны, то работодатель уведомляет его о запросе не позднее 5 рабочих дней. ВАЖНО! При изменении данных работник должен уведомить работодателя и в течение двух недель предоставить копии документов, подтверждающие перемены (например, свидетельство о браке, подтверждающее факт смены фамилии). Письменное согласие работника требуется:

  • при получении сведений у третьей стороны;
  • при обработке специальных категорий данных.

К спецкатегориям относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

  • ОЦЛ.4 Обнаружение и реагирование на поступление в ИСПДн незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию ИСПДн (защита от спама).

Реализация базовой меры ЗИС.

3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения с использованием СКЗИ в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.

Источник: http://alishavalenko.ru/peredacha-personalnyh-dannyh-po-elektronnoj-pochte/

Средства защиты каналов при передаче ПДн

Можно ли получать пдн по открытым каналам

Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи.

Помимо вышеназванной задачи данная подсистема позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования. Данная подсистема может быть реализована на основе программно-аппаратного комплекса Cisco Adaptive Security Appliance.

Этот комплекс сертифицирован ФСТЭК (соответствие руководящим документам по межсетевым экранам (3 и 4 Класс) и требованиям технических условий).

Cisco ASA 5500 предназначен для решения сразу нескольких задач – разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа «фишинг». Это достигается за счет объединения в одном устройстве лучших защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.

Подсистема обеспечения целостности – также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов.

Частота применения в российских компаниях в качестве операционной системы продуктов компании Microsoft вызвала необходимость использовать в качестве базовой платформы для построения решения подсистемы разграничения и контроля доступа к ресурсам информационной системы функционал Microsoft Windows Server 2003.

  • · русскую версию Windows Server 2003 (Standard Edition и Enterprise Edition);
  • · русскую версию Windows Server 2003 R2 (Standard Edition и Enterprise Edition).

Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты (подсистема антивирусной защиты). Такие средства способны обеспечивать:

  • · обнаружение и блокирование деструктивных вирусных воздействий на общесистемное и прикладное ПО, реализующее обработку ПДн, а также на сами ПДн;
  • · обнаружение и удаление «неизвестных» вирусов (т.е. вирусов, сигнатуры которых еще не внесены в антивирусные базы данных);
  • · обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

Подсистема антивирусной защиты должна строиться с учетом следующих факторов:

  • · наличия средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
  • · возможности оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления программно-математических воздействий (ПВМ).

Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».

Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.

0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.

5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с.

Подсистема анализа защищенности – предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность

программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п.

Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.

Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based).

Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.

В настоящее время компания Positive Technologies проводит работы по сертификации на отсутствие НДВ и соответствие ТУ системы оценки защищенности и контроля соответствия техническим политикам MaxPatrol.

В отличие от сканера безопасности, который оценивает только внешние уязвимости, MaxPatrol проводит внутренний аудит информационных ресурсов.

Применение системы MaxPatrol позволяет:

  • · Оценивать защищенность информационных систем. MaxPatrol выявляет бреши в защите автоматизированных систем (АС), формирует задание на их устранение, отслеживает эффективность и своевременность устранения найденных уязвимостей.
  • · Отслеживать текущее состояние информационных ресурсов. MaxPatrol проводит инвентаризацию защищаемых ресурсов и позволяет своевременно обнаруживать изменения в АС, в частности, в настройках сетевого оборудования, правах пользователей на рабочих станциях, таблицах БД, мандантах ERP-систем.

Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса – системы, применяющие сигнатурный метод и метод выявления аномалий.

В качестве средства для реализации подсистемы обнаружения и предотвращения вторжений специалисты компании «Инфосистемы Джет» часто используют продукты компании Cisco. Данные средства сертифицированы ФСТЭК и соответствуют требованиям технических условий и стандарту ГОСТ Р ИСО/МЭК 15408-2002.

К таким продуктам, в частности, относится Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак.

Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений.

Это позволяет обнаруживать как

известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно уменьшить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.

Для реализации перечисленных подсистем, общая структура СЗПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации.

В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г.

№ 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации10.

К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Page 3

Операционная система Windows XP Professional позволяет совместно использовать практически все, что находится в сети – файлы и папки, принтеры и даже приложения. На этом уроке мы поговорим о том, как совместно пользоваться сетевыми ресурсами.

Совместное использование папок и жестких дисков

Основное назначение сетей состоит в совместном использовании информации. Если бы не было возможности общего доступа к файлам и папкам, то не было бы и причин для создания сетей.

Windows XP Professional разрешает совместное использование папок и жестких дисков несколькими способами. Реализовать совместное использование достаточно просто.

То, каким образом ресурсы используются совместно, будет зависеть от настройки системы Windows XP Professional.

Совместное использование на уровне папок является базовым (исходным) уровнем, на котором вы можете осуществлять управление. Вы не можете реализовать совместное использование одного файла. Он должен быть перенесен или создан внутри папки, предназначенной для совместного использования.

Реализация совместного использования

Если необходимо ввести совместное использование файлов, то сделать это будет достаточно просто. Осуществите навигацию к нужной папке, щелкните на ней правой кнопкой мыши и выберите Properties (Свойства) в появившемся меню. Щелкните на вкладке Sharing (Общий доступ) и проведите настройку реквизитов.

Настройки, которые вы выберете, зависят от нескольких факторов: во-первых, включение или отключение Simple File Sharing (Простой общий доступ к файлам) предоставляет разные возможности. Файловая система, которой вы пользуетесь – NTFS или FAT – также влияет на возможности совместного использования.

Мы обсудим варианты этих настроек позже.

Источник: https://vuzlit.ru/992796/sredstva_zaschity_kanalov_peredache

Защита персональных данных: категории, состав, защита, ответственность | Правоведус

Можно ли получать пдн по открытым каналам

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее – ПДн) – это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.

3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. “О персональных данных”).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей – для физических лиц; от 5000 до 10000 рублей – должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Трансграничная передача персональных данных

Можно ли получать пдн по открытым каналам

Несмотря на санкции наших западных соседей число российских компаний, ведущих деятельность с иностранными контрагентами растет. При этом отсутствие территориальных рамок требует единых правил работы.

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS N 108 (далее – Конвенция ETS N 108) регламентирует рабочий процесс с персональными данными.

Конвенция ETS N 108 предусматривает устранение ограничений в передаче персональных данных на территорию стран, являющихся сторонами Конвенции, и обеспечение возможности их передачи между сторонами Конвенции, поскольку эти страны принимают в национальном законодательстве нормы, обеспечивающие защиту прав субъектов персональных данных.  В России был принят Федеральный закон N 152-ФЗ «О персональных данных» (далее – 152-ФЗ), который в базовых положениях повторяет, международный акт.

Что такое трансграничная передача ПДн?

152-ФЗ определяет понятие трансграничная передача персональных данных, как «передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Помимо возможности запрета трансграничной передачи ПДн в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, никаких ограничений на передачу персональных данных странам обеспечивающим адекватную защиту прав субъектов в законе нет.

Под странами обеспечивающими адекватную защиту понимаются страны, являющиеся сторонами Конвенции, а также иностранные государства, перечень которых установил Роскомнадзор в Приказе № 274 «Об утверждении Перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

В отношении стран, не обеспечивающих адекватную защиту прав субъектов ПДн, согласно 152-ФЗ осуществление трансграничной передачи данных возможно в определенных случаях:

  1. наличие согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  2. предусмотренных международными договорами РФ;
  3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  4. исполнения договора, стороной которого является субъект ПДн;
  5. защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн. 

Таким образом, при наличии письменного согласия субъекта или договора с субъектом ПДн, закон 152-ФЗ разрешает передавать персональные данные в любую страну. 

При этом несмотря на то, что получение отдельного согласия субъекта ПДн на трансграничную передачу ПДн в страны обеспечивающие адекватную защиту прав субъектов персональных данных, не требуется, важно чтобы оператор проинформировал субъекта ПДн о трансграничной передаче его ПДн. Для этого стоит в общедоступной политике в отношении обработки ПДн указать цели трансграничной передачи ПДн, объем передаваемых данных и лиц, которым эти данные передаются.

Необходимые действия при трансграничной передаче

  1. Уведомить Роскомнадзор о осуществляемой трансграничной передаче, заполнив (внеся изменения) уведомление об обработке персональных данных и указав страны, в которые будет осуществляться передача.
  2. Проинформировать субъекта ПДн до начала обработки его ПДн об осуществляемой трансграничной передаче, указав это в Политике в отношении обработки ПДн, договоре с клиентом или в другом документе с которым субъект сможет ознакомиться перед передачей своих ПДн.
  3. Отразить во внутренних нормативных документах оператора:
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Регламент обеспечения безопасного обмена ПДн;
  • Описание мероприятий и средств обеспечения защиты передаваемых ПДн; (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  1. Заключить договор с компанией, которой данные передаются, где указать
  • перечень действий, осуществляемых с персональными данными;
  • цели обработки;
  • обязанность обработчика соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
  • требования к защите обрабатываемых ПДн. При этом, организация, которой передаются ПДн при организации обработки будет руководствоваться законодательством страны пребывания;
  1. Защитить канал передачи данных. Для защиты ПДн от неправомерного или случайного доступа к ним, при передаче по открытым (незащищенным) каналам связи и сети Интернет необходимо применять средства шифрования. При этом является допустимым использование несертифицированных средств криптографической защиты информации, ввиду:
  • требования Конвенции ETS N 108 (статья 12.2) запрещающей создавать ограничения и ставить под специальный контроль информационные потоки ПДн, идущие на территорию иностранного государства, исходя исключительно из соображений защиты неприкосновенности личной сферы
  • наличия ограничений на вывоз средств, содержащих в своем составе средства шифрования с территории РФ
  • особенностей законодательства иностранного государства, на территорию которого осуществляется ввоз криптографического оборудования, и получение разрешение соответствующих служб иностранного государства на ввоз такого оборудования

21.07.2014 Государственной думой был принят Федеральный закон N 242-ФЗ от “О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях” (далее – 242-ФЗ), который дополняет 152-ФЗ требованием:

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ».

Принятие данного закона породило множество вопросов, связанных с его возможной реализацией и последствиями за нарушения требований, в том числе:

  1. Что будет с трансграничной передачей? Ведь передача невозможна без дальнейшего хранения(обработки), а при запрете хранения ПДн на территории иностранного государства получается термин трансграничная передача теряет свой смысл.
  2. Достаточно ли будет хранить на территории Российской Федерации только копию базы с ПДн россиян и продолжать обрабатывать часть данных на территории иностранных государств?
  3. Как оператору определять, что персональные данные принадлежат россиянину?
  4. Как будет уживаться 152-ФЗ в новой редакции и Конвенция ETS N 108?  Ведь ратифицировав Конвенцию Россия согласилась, что она как сторона Конвенции «не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы». Приняв же этот закон государство устанавливает искусственные ограничения на передачу ПДн. При этом в соответствии п.4 ст.4 152-ФЗ правила международного договора являются приоритетными в случае различия правил.
  5. Как регуляторы будут контролировать где физически хранятся ПДн россиян?
  6. Как российский закон касается иностранных компании обрабатывающих ПДн в соответствии с требованиями своих нормативных актов по защите ПДн, в том числе в соответствии с Конвенцией ETS N 108?

В принятом виде 242-ФЗ вступает в силу 01.09.

2016, однако, в настоящее время в Государственную думу внесен на рассмотрение Законопроект № 596277-6 «О внесении изменения в статью 4 Федерального закона “О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях” предусматривающий перенесение даты вступления в силу 242-ФЗ на 1 января 2015 года. По мнению законодателей такое изменение будет способствовать более оперативному и эффективному обеспечению прав граждан Российской Федерации на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях. Данный законопроект уже принят в двух чтениях и о вступлении в силу 242-ФЗ с 1 января можно уже говорить, как о свершившемся факте.

Однако, ускоряя вступление 242-ФЗ в силу, законодатели не предоставляют методик разъясняющих как конкретно должны храниться и обрабатываться ПДн россиян. Разработка новых методик и технических требований занимает у регулирующих органов значительное время и к 1 января 2015 года скорее всего таких документов не будет.

При этом компаниям нужно время, чтобы перестроить технические процессы так, чтобы выполнить требования закона и в то же время не допустить снижения качества предоставляемых услуг клиентам.

В данный момент трансграничная передача ПДн является удобным инструментом, который при правильном применении позволяет операторам снизить издержки при обработке ПДн на территории России, однако принятый 242-ФЗ может в корне изменить эту ситуацию.

Несмотря на то, что эксперты сходятся во мнении, что данный закон предназначен в первую очередь для возможности ограничения доступа к сайтам обрабатывающих ПДн россиян (в частности социальным сетям), операторам, имеющим базы данных на территории иностранных государств и осуществляющих трансграничную передачу ПДн, стоит уже сейчас изучить свои бизнес-процессы с точки зрения возможности переноса данных на территорию России. Так как цели принятого законопроекта и дальнейшая практика его применения у нас в стране могут отличаться.

Источник: http://www.4by4.ru/analytics/transgranichnaya-peredacha-personalnyh-dannyh

Адвокат Сорокин
Добавить комментарий